Mengenal Penetration Testing dan manfaat bagi keamanan informasi anda

Menjaga keamanan website suatu hal yang sangat penting tetapi juga hal yang sulit dilakukan mengingat seseorang yang memiliki skill penetration testing sangat jarang bahkan di indonesia pun masih cukup sedikit jumlahnya.

Di artikel ini kita akan membahas dan mempelajari tentang penetration testing situs web. 


Apa itu Penetration Testing

Penetration Testing atau disebut juga pentest adalah pengujian keamanan informasi dimana seorang asesor meniru serangan yang biasa sering terjadi untuk mengidentifikasi metode peretasan fitur keamanan aplikasi, sistem, atau jaringan. Pengujian ini dilakukan oleh asesor menggunakan serangan yang nyata, sistem yang nyata, dan data yang nyata menggunakan alat dan teknik yang sering dipakai oleh seorang hacker. Penetration Testing biasanya dilakukan bersamaan dengan Vulnerability Assessment (VA). 

Vulnerability Assessment adalah sebuah proses untuk mengidentifikasi risiko dan celah kerentanan pada aplikasi, sistem, ataupun jaringan. Sebagian besar pentest mencari kombinasi kerentanan pada satu atau lebih sistem untuk mendapatkan akses lebih dalam pada sistem yang menjadi target dibandingkan dengan hanya mengetahui satu macam kerentanan.


Manfaat Penetration Testing

Dalam implementasinya, pentest dapat berguna antara lain untuk menentukan seberapa baik sebuah sistem dapat menangani serangan dunia nyata. Selain itu dapat menentukan penanggulangan yang dapat mengurangi ancaman terhadap sistem, dan untuk mengingkatkan keamanan pada aplikasi, sistem, atau jaringan yang dimiliki. 

Pentest juga digunakan untuk mendeteksi serangan dan merespon dengan cepat dan tepat. Sehingga secara garis besar pentest bertujuan untuk menganalisis risiko yang akan timbul dengan adanya kerentanan yang telah diindentifikasi pada tahap Vulnerability Assessment dan memberikan rekomendasi tindakan yang perlu dilakukan apabila sistem yang diuji dapat lolos dari serangan hacker.


Tahap Penetration Testing

Tahap atau proses Penetration Testing sendiri dipecah menjadi lima tahap yaitu:

1. Planning dan reconnaissance

Tahap pertama melibatkan:

  • Menentukan ruang lingkup dan tujuan pengujian, termasuk sistem yang akan ditangani dan metode pengujian yang akan digunakan.
  • Mengumpulkan intelijen (misalnya, nama jaringan dan domain, server mail) untuk lebih memahami bagaimana target bekerja dan kerentanan potensial.


2. Scanning

Langkah selanjutnya adalah memahami bagaimana aplikasi target akan merespons berbagai upaya intrusi. Ini biasanya dilakukan dengan menggunakan:

  • Analisis statis – Memeriksa kode aplikasi untuk memperkirakan cara perilakunya saat berjalan. Alat-alat ini dapat memindai keseluruhan kode dalam satu pass.
  • Analisis dinamis – Memeriksa kode aplikasi dalam keadaan berjalan. Ini adalah cara pemindaian yang lebih praktis, karena memberikan tampilan waktu nyata ke dalam kinerja suatu aplikasi.

3. Gaining Access

Tahap ini menggunakan serangan aplikasi web, seperti scripting lintas situs, injeksi SQL dan backdoors, untuk mengungkap kerentanan target. Penguji kemudian mencoba dan mengeksploitasi kerentanan ini, biasanya dengan meningkatkan hak istimewa, mencuri data, memotong lalu lintas, dll., Untuk memahami kerusakan yang disebabkannya.


4. Maintaining access

Tujuan dari tahap ini adalah untuk melihat apakah kerentanan dapat digunakan untuk mencapai keberadaan yang terus-menerus dalam sistem yang dieksploitasi — cukup lama untuk mendapatkan akses yang mendalam. Idenya adalah untuk meniru ancaman persisten tingkat lanjut, yang sering tetap dalam sistem selama berbulan-bulan untuk mencuri data paling sensitif website tersebut.


5. Analisis

Hasil uji penetrasi kemudian digabungkan menjadi laporan yang merinci:

  • Vulnerability khusus yang dieksploitasi
  • Data sensitif yang diakses
  • Jumlah waktu pen tester

Informasi ini dianalisis oleh personel keamanan untuk membantu mengonfigurasi pengaturan WAF perusahaan dan solusi keamanan aplikasi lainnya untuk menambal kerentanan dan melindungi dari serangan di kemudian hari.


Menjadi Seorang Pentester

Menjadi seorang pentester bukanlah perkara instan, banyak skill yang wajib dikuasai, diantaranya : Networking, Programming, Sysadmin, Hardware and software, dll karna sejatinya pentester menggabungkan beberapa disiplin ilmu tersebut untuk menyelesaikan tugas-tugas mereka.

Mungkin ada variasi dalam peran penetration testing (pentester) di seluruh sektor industri, tetapi ada tugas mendasar yang akan Anda lakukan. Diantaranya :

  • Network and application tests : untuk memeriksa kerentanan keamanan umum di seluruh jaringan. Pentester akan dilibatkan dalam merancang tes-tes ini atau menjaga agar tes yang ada tetap mutakhir. Anda akan diharapkan tahu bagaimana menggunakan tools pentest
  • Physical security tests : seperti memastikan Hardening server terhadap ancaman non-cyber (vandalisme, dampak iklim, dan sebagainya)
  • Security audits Ini adalah aspek mendasar dan berkelanjutan dari peran penguji penetrasi. Anda diharapkan untuk menilai keamanan dari suatu proses, protokol atau sistem yang diberikan. Anda juga perlu menulis laporan audit
  • General security report writing : Penulisan laporan keamanan umum dan penggunaan metrik dari pengujian untuk membantu mengembangkan strategi keamanan
  • Involvement in security team and security policy review : Anda harus dapat berkomunikasi dengan tim Anda yang lebih luas dan membantu dengan tinjauan kebijakan keamanan

Cara Melakukan Penetration Testing
Untuk memulai penetration testing sebuah situs web seorang pentester juga perlu melengkapi dirinya dengan keahlian-keahlian dalam menggunakan berbagai tools, melakukan analisa, memahami konsep cara kerja sebuah sistem, terbiasa melakukan troubleshooting, update dengan perkembangan teknologi terbaru, adapun tools yang bisa dipakai sebagai berikut :

1. Tools Vega
2. Tools ZapProxy
  • PenTesting Data Website
  • sqlmap
  • sqlninja
3. Tools Pemindaian CMS
  • WPScan
  • Joomscan
4. Tools Pen Testing SSL
5. w3af

Cara Pen Testing Mengggunakan Vega
Untuk cara pen testing menggunakan vega silahkan simak langkah-langkahnya sebagai berikut:

1. Install vega

2. Buka vega
Untuk membuka Vega, buka Aplikasi → 03-Web Application Analysis → Vega

3. klik tanda “+”
 Untuk memulai pemindaian, klik tanda “+” di pojok kiri atas

4. Masukkan URL halaman web yang akan dipindai. 
Dalam hal ini kami perlu memasukkan URL halaman web yang akan dipindai, itu adalah mesin metasploitable → klik “Next”.

5. Centang semua kotak
Centang semua kotak modul yang ingin Anda kendalikan. Kemudian, klik “Next”.

6. Klik “Next” lalu klik "Finish"
Klik “Next” lagi lalu pencet finish

7. Klik yes
Jika muncul tabel pilihan "yes" dan "no" klik “Yes”. Lalu tunggu sampai scanner selesai

8. Selesai
Setelah pemindaian selesai, pada panel kiri bawah Anda dapat melihat semua temuan, yang dikategorikan berdasarkan tingkat keparahannya. Jika Anda mengkliknya, Anda akan melihat semua detail kerentanan di panel kanan seperti “REQUEST”, “DISCUSSION”, “IMPACT”, dan “REMEDIATION”.

Untuk cara pen testing web menggunakan tools lainnya yang sudah admin sebut di atas kalian bisa mengunjungi blog indoxploit dengen mencet link berikut → penetration testing website.
Mungkin sekian pembahasan / pembelajaran penetration testing yang telah admin rangkum dari blog indoxploit.id dan ninjabuster.com, semoga bermanfaat!!

Next Post Previous Post
No Comment
Add Comment
comment url