Mengenal Penetration Testing dan manfaat bagi keamanan informasi anda
Di artikel ini kita akan membahas dan mempelajari tentang penetration testing situs web.
Apa itu Penetration Testing
Penetration Testing atau disebut juga pentest adalah pengujian keamanan informasi dimana seorang asesor meniru serangan yang biasa sering terjadi untuk mengidentifikasi metode peretasan fitur keamanan aplikasi, sistem, atau jaringan. Pengujian ini dilakukan oleh asesor menggunakan serangan yang nyata, sistem yang nyata, dan data yang nyata menggunakan alat dan teknik yang sering dipakai oleh seorang hacker. Penetration Testing biasanya dilakukan bersamaan dengan Vulnerability Assessment (VA).
Vulnerability Assessment adalah sebuah proses untuk mengidentifikasi risiko dan celah kerentanan pada aplikasi, sistem, ataupun jaringan. Sebagian besar pentest mencari kombinasi kerentanan pada satu atau lebih sistem untuk mendapatkan akses lebih dalam pada sistem yang menjadi target dibandingkan dengan hanya mengetahui satu macam kerentanan.
Manfaat Penetration Testing
Dalam implementasinya, pentest dapat berguna antara lain untuk menentukan seberapa baik sebuah sistem dapat menangani serangan dunia nyata. Selain itu dapat menentukan penanggulangan yang dapat mengurangi ancaman terhadap sistem, dan untuk mengingkatkan keamanan pada aplikasi, sistem, atau jaringan yang dimiliki.
Pentest juga digunakan untuk mendeteksi serangan dan merespon dengan cepat dan tepat. Sehingga secara garis besar pentest bertujuan untuk menganalisis risiko yang akan timbul dengan adanya kerentanan yang telah diindentifikasi pada tahap Vulnerability Assessment dan memberikan rekomendasi tindakan yang perlu dilakukan apabila sistem yang diuji dapat lolos dari serangan hacker.
Tahap Penetration Testing
Tahap atau proses Penetration Testing sendiri dipecah menjadi lima tahap yaitu:1. Planning dan reconnaissance
Tahap pertama melibatkan:
- Menentukan ruang lingkup dan tujuan pengujian, termasuk sistem yang akan ditangani dan metode pengujian yang akan digunakan.
- Mengumpulkan intelijen (misalnya, nama jaringan dan domain, server mail) untuk lebih memahami bagaimana target bekerja dan kerentanan potensial.
2. Scanning
Langkah selanjutnya adalah memahami bagaimana aplikasi target akan merespons berbagai upaya intrusi. Ini biasanya dilakukan dengan menggunakan:
- Analisis statis – Memeriksa kode aplikasi untuk memperkirakan cara perilakunya saat berjalan. Alat-alat ini dapat memindai keseluruhan kode dalam satu pass.
- Analisis dinamis – Memeriksa kode aplikasi dalam keadaan berjalan. Ini adalah cara pemindaian yang lebih praktis, karena memberikan tampilan waktu nyata ke dalam kinerja suatu aplikasi.
3. Gaining Access
Tahap ini menggunakan serangan aplikasi web, seperti scripting lintas situs, injeksi SQL dan backdoors, untuk mengungkap kerentanan target. Penguji kemudian mencoba dan mengeksploitasi kerentanan ini, biasanya dengan meningkatkan hak istimewa, mencuri data, memotong lalu lintas, dll., Untuk memahami kerusakan yang disebabkannya.
4. Maintaining access
Tujuan dari tahap ini adalah untuk melihat apakah kerentanan dapat digunakan untuk mencapai keberadaan yang terus-menerus dalam sistem yang dieksploitasi — cukup lama untuk mendapatkan akses yang mendalam. Idenya adalah untuk meniru ancaman persisten tingkat lanjut, yang sering tetap dalam sistem selama berbulan-bulan untuk mencuri data paling sensitif website tersebut.
5. Analisis
Hasil uji penetrasi kemudian digabungkan menjadi laporan yang merinci:
- Vulnerability khusus yang dieksploitasi
- Data sensitif yang diakses
- Jumlah waktu pen tester
Informasi ini dianalisis oleh personel keamanan untuk membantu mengonfigurasi pengaturan WAF perusahaan dan solusi keamanan aplikasi lainnya untuk menambal kerentanan dan melindungi dari serangan di kemudian hari.
Menjadi Seorang Pentester
Menjadi seorang pentester bukanlah perkara instan, banyak skill yang wajib dikuasai, diantaranya : Networking, Programming, Sysadmin, Hardware and software, dll karna sejatinya pentester menggabungkan beberapa disiplin ilmu tersebut untuk menyelesaikan tugas-tugas mereka.
Mungkin ada variasi dalam peran penetration testing (pentester) di seluruh sektor industri, tetapi ada tugas mendasar yang akan Anda lakukan. Diantaranya :
- Network and application tests : untuk memeriksa kerentanan keamanan umum di seluruh jaringan. Pentester akan dilibatkan dalam merancang tes-tes ini atau menjaga agar tes yang ada tetap mutakhir. Anda akan diharapkan tahu bagaimana menggunakan tools pentest
- Physical security tests : seperti memastikan Hardening server terhadap ancaman non-cyber (vandalisme, dampak iklim, dan sebagainya)
- Security audits Ini adalah aspek mendasar dan berkelanjutan dari peran penguji penetrasi. Anda diharapkan untuk menilai keamanan dari suatu proses, protokol atau sistem yang diberikan. Anda juga perlu menulis laporan audit
- General security report writing : Penulisan laporan keamanan umum dan penggunaan metrik dari pengujian untuk membantu mengembangkan strategi keamanan
- Involvement in security team and security policy review : Anda harus dapat berkomunikasi dengan tim Anda yang lebih luas dan membantu dengan tinjauan kebijakan keamanan
- PenTesting Data Website
- sqlmap
- sqlninja
- WPScan
- Joomscan