Skip to content

cakgup/simple-pentest-tools

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

Β 

History

9 Commits
.nojekyll
.nojekyll
Β 
Β 
LICENSE
LICENSE
Β 
Β 
README.md
README.md
Β 
Β 
index.html
index.html
Β 
Β 
script.js
script.js
Β 
Β 
styles.css
styles.css
Β 
Β 

Repository files navigation

πŸ›‘οΈ Simple Pentest Tools

Toolkit web statis untuk pendamping pengujian keamanan yang sah, ringan, dan mudah diduplikasi.

GitHub Pages No Backend Static Site License: MIT Security

Simple Pentest Tools dibuat sebagai alat bantu sederhana untuk kegiatan penetration testing, security review, edukasi keamanan, dan penyusunan evidence secara sah, terotorisasi, serta terdokumentasi.

Didedikasikan untuk ummat β€” agar semakin banyak orang dapat belajar keamanan siber secara benar, bertanggung jawab, dan bermanfaat.

πŸ“Œ Tentang Aplikasi

Simple Pentest Tools adalah aplikasi web statis berbasis HTML, CSS, dan JavaScript yang dapat dijalankan langsung di browser tanpa instalasi backend, database, package manager, atau proses build.

Aplikasi ini cocok digunakan untuk:

  • pendamping kegiatan security assessment internal;
  • edukasi dasar keamanan aplikasi web;
  • pengecekan awal exposure akun dan kredensial;
  • penyusunan draft temuan keamanan;
  • review manual terhadap konfigurasi HTTP security header;
  • dokumentasi ringan dalam proses pentest yang berizin.

Toolkit ini bukan alat eksploitasi otomatis. Fokus utamanya adalah membantu proses analisis, validasi, edukasi, dan dokumentasi secara aman.

✨ Fitur Utama

Fitur Kegunaan
πŸ” Breach Exposure Checker Mengecek indikasi keterpaparan email dan password pada sumber kebocoran publik.
πŸ”Ž Google Dorking Builder Membantu menyusun query Google untuk meninjau exposure publik pada domain yang termasuk scope resmi.
🧾 HTTP Security Header Reviewer Melakukan review manual terhadap response header dari Burp, curl, DevTools, atau proxy pengujian.
🧰 Encoder, Decoder, Hash, dan JWT Viewer Mendukung URL encode/decode, Base64, HTML encode/decode, SHA-256, dan pembacaan header/payload JWT.
πŸ“Š Kalkulator CVSS v4.0 Base Score Membantu membuat estimasi awal skor kerentanan berdasarkan metrik CVSS v4.0.
πŸ“ Draft Temuan Markdown Membantu menyusun narasi temuan agar lebih rapi dan siap dimasukkan ke laporan.
🌐 Siap GitHub Pages Dapat langsung dipublikasikan sebagai halaman web statis.

🧭 Prinsip Penggunaan Aman

Gunakan aplikasi ini hanya untuk sistem, akun, domain, atau aset yang:

  1. dimiliki sendiri;
  2. berada dalam ruang lingkup pekerjaan resmi;
  3. telah memperoleh izin tertulis;
  4. termasuk dalam scope pengujian yang disepakati;
  5. digunakan untuk edukasi, audit internal, atau dokumentasi yang sah.

Toolkit ini tidak dirancang untuk:

  • eksploitasi sistem;
  • brute force;
  • port scanning;
  • subdomain scanning otomatis;
  • vulnerability scanning otomatis;
  • scraping hasil pencarian;
  • pengambilan kredensial;
  • pengujian destruktif;
  • aktivitas di luar izin atau ruang lingkup pengujian.

Gunakan ilmu keamanan siber untuk melindungi, bukan merusak.

πŸ—‚οΈ Struktur Repository

.
β”œβ”€β”€ index.html      # Halaman utama aplikasi
β”œβ”€β”€ styles.css      # Tampilan antarmuka
β”œβ”€β”€ script.js       # Logika fitur aplikasi
β”œβ”€β”€ README.md       # Dokumentasi repository
β”œβ”€β”€ LICENSE         # Lisensi MIT
└── .nojekyll       # Penanda agar GitHub Pages tidak memproses Jekyll

πŸš€ Cara Menjalankan

Opsi 1 β€” Buka langsung di browser

Karena aplikasi ini bersifat statis, cukup buka file berikut:

index.html

Tidak perlu menjalankan server, database, Node.js, npm, Python, atau Docker.

Opsi 2 β€” Jalankan dengan local web server

Apabila ingin menjalankan melalui localhost:

python3 -m http.server 8000

Lalu buka:

http://localhost:8000

🌐 Cara Deploy ke GitHub Pages

1. Upload repository ke GitHub

Pastikan file berikut berada di root repository:

index.html
styles.css
script.js
README.md
LICENSE
.nojekyll

2. Aktifkan GitHub Pages

Masuk ke:

Settings β†’ Pages

Lalu pilih:

Source: Deploy from a branch
Branch: main
Folder: /root

Klik Save.

3. Akses halaman

Jika repository bernama simple-pentest-tools, URL GitHub Pages biasanya menjadi:

https://username.github.io/simple-pentest-tools/

Untuk repository ini, halaman dapat diarahkan ke:

https://cakgup.github.io/simple-pentest-tools/

πŸ” Cara Menduplikasi Repository

Opsi A β€” Fork dari GitHub

  1. Buka repository ini.
  2. Klik tombol Fork.
  3. Pilih akun GitHub tujuan.
  4. Ubah nama repository jika diperlukan.
  5. Aktifkan GitHub Pages pada repository hasil fork.

Opsi B β€” Clone manual

git clone https://github.com/cakgup/simple-pentest-tools.git
cd simple-pentest-tools

Setelah itu, ubah sesuai kebutuhan:

git remote remove origin
git remote add origin https://github.com/username/nama-repo-baru.git
git branch -M main
git push -u origin main

πŸ” Penjelasan Fitur Breach Exposure Checker

Cek Password Terpapar

Fitur cek password menggunakan pendekatan hash lokal.

Alur umumnya:

  1. password dihitung menjadi hash di browser;
  2. hanya sebagian prefix hash yang dikirim ke layanan pengecekan;
  3. hasil suffix dicocokkan kembali secara lokal;
  4. password asli tidak dikirim secara utuh.

Meskipun demikian, gunakan fitur ini secara bijak:

  • jangan mengetik password orang lain;
  • jangan menyimpan hasil pengecekan yang sensitif;
  • gunakan untuk edukasi atau akun yang memang menjadi scope resmi;
  • tetap gunakan password unik dan MFA.

Cek Email Terpapar

Fitur pengecekan email menggunakan API publik pihak ketiga.

Karena alamat email dikirim ke layanan eksternal, gunakan hanya untuk:

  • email pribadi sendiri;
  • email organisasi yang termasuk scope;
  • email yang telah memperoleh persetujuan;
  • kegiatan edukasi atau pemeriksaan resmi.

πŸ”Ž Penjelasan Google Dorking Builder

Google Dorking Builder membantu membuat query pencarian berbasis domain untuk meninjau kemungkinan exposure publik.

Contoh kategori yang dapat ditinjau:

  • halaman terindeks;
  • dokumen publik;
  • halaman login/admin yang terindeks;
  • jejak dev/staging/UAT;
  • pesan error/debug;
  • indikasi directory listing;
  • dokumentasi API publik;
  • referensi cloud storage publik;
  • jejak backup/arsip.

Batasan aman:

  • aplikasi hanya menyusun query;
  • tidak melakukan scraping;
  • tidak melakukan crawling;
  • tidak melakukan brute force;
  • tidak mengambil credential;
  • tidak mengakses hasil secara otomatis.

🧾 Penjelasan HTTP Security Header Reviewer

Fitur ini membantu meninjau response header yang ditempel secara manual dari:

  • Burp Suite;
  • browser DevTools;
  • curl;
  • proxy pengujian;
  • hasil dokumentasi pengujian.

Header yang dapat direview antara lain:

  • Strict-Transport-Security;
  • Content-Security-Policy;
  • X-Frame-Options;
  • X-Content-Type-Options;
  • Referrer-Policy;
  • Permissions-Policy;
  • Set-Cookie flags.

Hasil review bersifat indikasi awal, bukan pengganti analisis manual secara menyeluruh.

🧰 Penjelasan Encoder, Decoder, Hash, dan JWT Viewer

Fitur utilitas ini berjalan di browser dan membantu pekerjaan teknis harian seperti:

  • URL encode;
  • URL decode;
  • Base64 encode;
  • Base64 decode;
  • HTML encode;
  • HTML decode;
  • SHA-256 hash generator;
  • JWT header/payload viewer.

Catatan penting:

JWT viewer hanya membaca header dan payload. Fitur ini tidak memverifikasi signature, tidak memastikan token valid, dan tidak boleh digunakan sebagai alat validasi autentikasi.

πŸ“Š Penjelasan CVSS v4.0 Calculator

Kalkulator CVSS v4.0 digunakan untuk membantu estimasi awal tingkat keparahan temuan.

Gunakan hasilnya sebagai bahan bantu, lalu lengkapi dengan analisis profesional terhadap:

  • konteks aset;
  • eksposur sistem;
  • privilege yang dibutuhkan;
  • dampak terhadap kerahasiaan;
  • dampak terhadap integritas;
  • dampak terhadap ketersediaan;
  • kontrol kompensasi;
  • risiko bisnis atau risiko operasional.

πŸ“ Format Rekomendasi Laporan Temuan

Agar hasil pengujian mudah dipahami, setiap temuan sebaiknya ditulis dengan struktur:

## Nama Kerentanan

**Kategori:**  
**Severity:**  
**CVSS Vector:**  
**Path / Endpoint:**  
**Tanggal Pengujian:**  

### Deskripsi
Jelaskan kerentanan secara ringkas dan faktual.

### Bukti / Evidence
Lampirkan bukti yang telah disanitasi.

### Dampak
Jelaskan potensi dampak terhadap sistem, data, pengguna, dan organisasi.

### Rekomendasi
Berikan langkah perbaikan yang jelas dan dapat dikerjakan.

### Status
Open / In Progress / Fixed / Accepted Risk

πŸ§‘β€πŸ’» Alur Penggunaan yang Disarankan

  1. Pastikan ada izin dan scope pengujian.
  2. Dokumentasikan target, batasan, dan tanggal pengujian.
  3. Gunakan fitur sesuai kebutuhan.
  4. Hindari memasukkan secret, token, cookie aktif, atau data sensitif.
  5. Sanitasi evidence sebelum dibagikan.
  6. Buat draft temuan secara objektif.
  7. Validasi ulang temuan bersama pengelola sistem.
  8. Simpan laporan akhir pada media yang aman.

πŸ› οΈ Kustomisasi

Beberapa bagian yang dapat dikembangkan:

  • menambahkan kategori Google Dorking sesuai kebutuhan organisasi;
  • menambahkan template laporan organisasi;
  • menambahkan ekspor hasil ke PDF melalui browser print;
  • menambahkan import/export checklist JSON;
  • menambahkan validasi cookie flag yang lebih rinci;
  • menambahkan kalkulator risiko internal;
  • mengintegrasikan dokumentasi tambahan menggunakan MkDocs atau Docusaurus.

❗ Catatan Keamanan

Sebelum mempublikasikan repository secara publik, pastikan:

  • tidak ada API key;
  • tidak ada token;
  • tidak ada cookie aktif;
  • tidak ada password;
  • tidak ada file evidence sensitif;
  • tidak ada data pribadi;
  • tidak ada hasil pentest yang belum disanitasi;
  • tidak ada domain internal yang seharusnya tidak dipublikasikan.

Jika repository bersifat publik, seluruh isi repository dapat dilihat oleh siapa pun.

🀝 Kontribusi

Kontribusi dipersilakan selama tetap mengikuti prinsip:

  • aman;
  • edukatif;
  • tidak destruktif;
  • tidak menambahkan fitur eksploitasi aktif;
  • tidak mendorong penyalahgunaan;
  • mendukung pengujian yang sah dan terotorisasi.

Contoh kontribusi yang sesuai:

  • perbaikan tampilan;
  • penambahan dokumentasi;
  • penambahan validasi input;
  • penambahan template laporan;
  • perbaikan aksesibilitas;
  • penambahan fitur ekspor hasil yang aman.

πŸ“œ Lisensi

Repository ini menggunakan lisensi MIT License.

Artinya, kode dapat digunakan, disalin, dimodifikasi, digabungkan, dipublikasikan, dan didistribusikan kembali selama tetap menyertakan pemberitahuan hak cipta dan lisensi yang berlaku.

🀲 Dedikasi

Aplikasi ini didedikasikan untuk ummat, para pembelajar, pengelola sistem, penguji keamanan, dan siapa pun yang ingin membangun budaya keamanan digital yang lebih baik.

Semoga toolkit sederhana ini menjadi sarana belajar, berbagi manfaat, dan membantu menjaga sistem informasi agar lebih aman, tertib, dan bertanggung jawab.

Ilmu yang bermanfaat adalah ilmu yang digunakan untuk memperbaiki keadaan, menjaga amanah, dan melindungi sesama.

Simple Pentest Tools
Belajar keamanan siber dengan aman, etis, dan bermanfaat.

About

Toolkit ini dibuat sebagai pendamping kegiatan pengujian keamanan yang sah dan terotorisasi. Sebagian besar proses berjalan di browser dan tidak membutuhkan backend, database, package manager, atau proses build.

cakgup.github.io/simple-pentest-tools/

Resources

Readme

License

MIT license
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

 
 
 

Contributors

Languages