Sebuah perintah terminal:
./katana -u https://united.com -headless
Perintah ini menjalankan tool bernama Katana yang merupakan web crawler buatan ProjectDiscovery — tool populer untuk fase reconnaissance dan enumerasi dalam pengujian keamanan aplikasi web.
🕷️ Mengenal Katana: Web Crawler Cepat dan Modern untuk Pentest
Apa itu Katana?
Katana adalah tool open-source yang dibuat oleh ProjectDiscovery untuk melakukan web crawling secara cepat dan efisien. Tool ini berguna dalam dunia cybersecurity dan penetration testing, khususnya dalam tahap awal information gathering dan enumeration.
Berbeda dari crawler biasa, Katana memiliki kemampuan untuk:
- Menjalankan crawling secara headless (tanpa tampilan browser)
- Mengekstrak URL dari berbagai sumber (HTML, JS, API calls)
- Menyediakan output terstruktur
- Bisa diintegrasikan ke pipeline otomatis seperti dalam Bug Bounty atau VAPT
Penjelasan Perintah: katana -u https://united.com -headless
Mari kita uraikan perintah yang muncul di layar:
Bagian Perintah | Penjelasan |
---|---|
./katana |
Menjalankan file binary bernama katana dari direktori saat ini. |
-u https://united.com |
Menentukan target URL yang ingin di-crawl. Dalam hal ini: https://united.com . |
-headless |
Menjalankan Katana dalam mode headless browser, artinya tool akan merender halaman menggunakan browser tanpa GUI untuk mengekstrak lebih banyak URL, termasuk yang dibuat secara dinamis oleh JavaScript. |
Manfaat Mode Headless
Penggunaan opsi -headless
memberi banyak keunggulan, misalnya:
- Dapat mengeksplorasi URL yang tidak tampak secara statis (misalnya yang dibuat melalui JavaScript).
- Menemukan API endpoint tersembunyi atau asset JS/CSS dinamis.
- Memetakan permukaan serangan aplikasi web secara lebih lengkap.
Contoh Output Katana
Jika perintah berhasil dijalankan, Katana akan mengeluarkan daftar URL, seperti:
https://united.com/assets/js/main.js
https://united.com/login
https://united.com/api/user/info
...
Output ini bisa disimpan dalam file dan digunakan untuk:
- Fuzzing endpoint
- Scanning kerentanan
- Identifikasi permukaan serangan
Instalasi Katana
Untuk kamu yang ingin mencoba, instalasinya sangat mudah:
GO111MODULE=on go install github.com/projectdiscovery/katana/cmd/katana@latest
Binary akan tersedia di $HOME/go/bin/katana
.
Kesimpulan
Tool seperti Katana wajib dimiliki oleh profesional keamanan atau pemburu bug bounty yang ingin melakukan crawling web secara efisien. Dengan dukungan headless mode
, kita bisa menjangkau lebih dalam ke bagian tersembunyi dari aplikasi modern yang banyak menggunakan JavaScript.
🔐 Catatan Penting: Etika & Legalitas
Melakukan scanning atau crawling terhadap domain seperti https://united.com
(seperti pada contoh) harus dilakukan dengan izin, terutama jika kamu bukan bagian dari program bug bounty resmi mereka. Hindari melakukan scanning terhadap target tanpa wewenang karena itu bisa melanggar hukum.
📌 Referensi
- Katana GitHub Repo
- ProjectDiscovery Official Docs
- OWASP Top 10 – A01:2021 Broken Access Control (penting saat menguji endpoint tersembunyi)