Baik Teman Teman, pada kesempatan kali ini saya akan membahas mengenai metode metode dasar dalam Web Penetration Testing. Penetration Testing atau biasa disebut (pentesting) adalah suatu kegiatan yang dilakukan oleh Pentester untuk melakukan pengujian keamanan pada suatu sistem yang bisa berpotensi diserang oleh pihak yang tidak bertanggungjawab. Orang yang melakukan Pentesting adalah Pentester.
Berikut adalah fase yang dilakukan dalam Pentesting :
Information Gathering adalah proses pengumpulan informasi yang dilakukan untuk menemukan informasi target baik perusahaan maupun perseorangan.
2. Vulnerability Assesment
Vulnerability Asessment adalah metode untuk melakukan identifikasi, mendeteksi, dan mempelajari kelemahan target.
3. Exploitation
Exploitation adalah metode untuk menyerang suatu target dengan informasi yang sudah dilakukan pada nomor 1 dan 2.
4. Housekeeping
Houskeeping adalah metode untuk memperbaiki celah sistem yang sudah di exploitasi tadi.
5. Reporting
Reporting ini berguna untuk melaporkan celah keamanan yang sudah kita temukan dengan metode metode diatas.
Metode Penetration Testing
Dalam melakukan Penetration Testing ada 3 metode yang dilakukan yaitu White Box, Gray Box Dan Black Box. Berikut ini penjelasan 3 metode diatas :
White Box
White Box merupakan metode pengujian yang mendapatkan segala informasi dari target, misalnya Sistem yang digunakan, Teknologi yang digunakan seperti Source Code yang ada didalam nya, bisa dibilang ini berperan sebagai Developer
Gray Box
Gray Box adalah metode pengujian yang tidak mendapatkan informasi dengan penuh seperti halnya metode White Box diatas, contohnya hanya diberi username dan password saat melakukan pengujian, posisi Gray Box adalah sebagai pengguna.
Black Box
Black Box merupakan metode yang berbeda dari kedua metode diatas. Black Box tidak memiliki atau mendapatkan Informasi apapun dari target bisa juga disebut sebagai pengguna.
Scanning
Scanning menjadi bagian penting dalam melakukan Penetration Testing. Alat Scanning berfungsi sebagai alat pemindaian / analisis data atau informasi yang bisa kita dapatkan dari internet. Berikut adalah alat Scanning yang biasa saya gunakan :
Dirsearch adalah alat yang bisa kita gunakan untuk melakukan Brute Force directory yang ada pada target, dengan tools ini kita bisa mendapatkan berbagai informasi atau konfigurasi yang tersimpan didalam server web.
NMap
NMap merupakan tools yang berguna untuk mengetahui Port apa saja yang terbuka dan Port yang tertutup pada server, dengan tools ini juga kita dapat mengaudit jaringan yang ada.
Sublist3r
Sublist3r adalah alat yang bisa kita gunakan untuk melakukan scanning pada subdomain yang dimiliki oleh website target. Biasanya beberapa website target memiliki celah keamanan pada subdomain.
Reporting
Setelah kita berhasil menemukan celah keamanan pada target, kita bisa melaporkan Celah keamanan yang kita temukan setelah melalui berbagai metode. Disini yang perlu kita lakukan adalah menulis step by step dengan Detail saat kita melakukan pentesting pada target, usahakan saat membuat laporan itu cantumkan Media berupa Screenshot, Gambar, Video atau lain sebagainya.
Sekian, semoga bermanfaat.
Belum ada Komentar untuk "Metode Dasar Dalam Web Penetration Testing"
Posting Komentar