Ethic Ninja · Cybersecurity Services

Penetration Testing

Kami menguji sistem Anda seperti attacker nyata bukan sekadar scanner otomatis. 75% manual, mendalam, dan dapat dipertanggungjawabkan secara hukum.

Konsultasi → Lihat Metodologi
75%
Manual
Testing
15+
Tahun
Pengalaman
Retest
Termasuk
BSSN Certified Consultant ASPI Security Testing Provider CREST Pathway+ Member Top MSRC Researcher 2022–2023 Adobe Magento 0day CVE Apple Security Acknowledgement Google Bug Hunter Honorable Mention BSSN Certified Consultant ASPI Security Testing Provider CREST Pathway+ Member Top MSRC Researcher 2022–2023 Adobe Magento 0day CVE Apple Security Acknowledgement Google Bug Hunter Honorable Mention
Definisi

Apa itu Penetration Testing?

Penetration testing adalah simulasi serangan siber yang dilakukan secara legal dan terstruktur untuk mengidentifikasi, mengeksploitasi, dan mendokumentasikan kelemahan pada sistem Anda sebelum pihak yang tidak bertanggung jawab melakukannya lebih dulu.

Berbeda dari vulnerability scanner biasa, pendekatan Ethic Ninja menggabungkan keahlian manual pentester berpengalaman dengan tooling yang tepat sasaran. Hasilnya: temuan yang nyata, bukan daftar noise dari scanner otomatis.

Semua engagement dilakukan berdasarkan kontrak legal yang jelas, dengan scope, batasan, dan timeline yang disepakati bersama.

"Eksploitasi bussiness logic aplikasi, salah satu area penting untuk diuji secara manual yang seringkali tools tidak dapat melakukannya."

Target Umum Pentest

🌐
Web aplikasi, API, VPN endpoint, infrastruktur email, extranet
📱
Aplikasi mobile (Android & iOS) beserta backend API-nya
🖥
Sistem internal Active Directory, Exchange, jaringan internal
☁️
Infrastruktur cloud, server, network segmentation
👥
Social engineering & kesadaran keamanan karyawan
🔗
Aplikasi custom in-house yang dikembangkan perusahaan
Diferensiasi

Mengapa Ethic Ninja?

75%

Manual, Bukan Sekadar Scan

75% dari seluruh kegiatan pentest kami dilakukan secara manual oleh pentester berpengalaman. Tools hanya pendukung bukan pengganti keahlian manusia.

CVE

Track Record Terbukti

Tim kami telah menemukan 0day pada Adobe Commerce/Magento, mendapat acknowledgment dari Apple, Google, dan masuk Top MSRC Microsoft Q3 2022–Q1 2023.

Tersertifikasi & Terakreditasi

Terdaftar di BSSN sebagai lembaga konsultan keamanan siber, anggota ASPI sebagai penyedia jasa pengujian keamanan, dan CREST Pathway+.

PoC

Proof of Concept, Bukan Teori

Setiap temuan kerentanan disertai PoC yang membuktikan bahwa kelemahan tersebut valid dan dapat dieksploitasi.

Retest Sudah Termasuk

Setelah Anda melakukan perbaikan, kami lakukan verifikasi ulang maksimal 3 kali untuk memastikan kelemahan telah benar-benar tertutup.

Fleksibel & Legal

Scope disesuaikan kebutuhan Anda. Semua engagement dilakukan dengan kontrak yang jelas, mematuhi regulasi yang berlaku di Indonesia.

Pendekatan kami:
think like an attacker,
report like an auditor.
Metodologi
Ethic Ninja menggunakan pendekatan yang sepenuhnya disesuaikan dengan konteks target bukan template generik. Kami memilih metode yang paling efektif berdasarkan informasi yang tersedia, tujuan bisnis klien, dan tingkat risiko yang dapat diterima.
Blackbox

Zero Knowledge

Kami hanya mengetahui domain/IP target. Simulasi paling realistis dari perspektif attacker eksternal yang tidak memiliki akses apapun.

  • Hanya butuh domain atau IP
  • Mensimulasikan serangan eksternal murni
  • Cocok untuk threat modeling awal
  • Surface discovery + exploitation
Greybox

Partial Knowledge

Sebagian informasi diberikan seperti akun pengguna atau arsitektur umum. Memberikan cakupan yang lebih luas dengan efisiensi lebih tinggi.

  • Akses sebagai user terdaftar
  • Logika bisnis & authorization flaws
  • Paling sering digunakan untuk web app
  • Balance antara realism & efisiensi
Whitebox

Full Knowledge

Informasi lengkap tersedia termasuk source code, arsitektur, kredensial admin. Mencakup secure code review untuk cakupan terdalam.

  • Source code review (SAST)
  • Full architecture assessment
  • Business logic testing mendalam
  • Paling komprehensif & thorough
Alur Pengerjaan
01
Reconnaissance
Footprinting, OSINT, identifikasi attack surface
02
Scanning
Port scan, service enumeration, vulnerability detection
03
Exploitation
Eksploitasi manual + PoC untuk setiap temuan valid
04
Post-Exploit
Privilege escalation, lateral movement, impact assessment
05
Reporting
Laporan komprehensif + rekomendasi remediasi + retest
Standar

Standar Pengujian

Web Application (OWASP)
Mobile Application (OWASP Mobile)
A01:2021
Broken Access Control
A02:2021
Cryptographic Failures
A03:2021
Injection (SQL, NoSQL, OS, LDAP)
A04:2021
Insecure Design
A05:2021
Security Misconfiguration
A06:2021
Vulnerable & Outdated Components
A07:2021
Identification & Authentication Failures
A08:2021
Software & Data Integrity Failures
A09:2021
Security Logging & Monitoring Failures
A10:2021
Server-Side Request Forgery (SSRF)
M1
Improper Platform Usage [CWE-276]
M2
Insecure Data Storage [CWE-200, 311, 312]
M3
Insecure Communication [CWE-297, 310]
M4
Insecure Authentication [CWE-287]
M5
Insufficient Cryptography [CWE-310, 326]
M6
Insecure Authorization [CWE-285, 284]
M7
Client Code Quality [CWE-807, 20, 94]
M8
Code Tampering [CWE-259, 798]
M9
Reverse Engineering [CWE-259, 798]
M10
Extraneous Functionality [CWE-489, 798]
Output

Yang Anda Dapatkan

📄

Laporan Pentest

Laporan komprehensif berisi temuan kerentanan lengkap dengan CVSS scoring, tingkat risiko, bukti eksploitasi (PoC), dan dampak bisnis yang konkret.

🔧

Rekomendasi Remediasi

Panduan perbaikan yang spesifik dan actionable untuk setiap temuan disusun berdasarkan prioritas risiko agar tim developer dapat segera mengambil tindakan.

🔁

Retest (Maks. 3×)

Setelah perbaikan dilakukan, kami memverifikasi ulang hingga 3 kali untuk memastikan seluruh kerentanan telah berhasil ditutup. Laporan final disertakan.

Cakupan Pengujian

Attack Vectors

Berikut sebagian vektor serangan yang diuji dalam setiap engagement (selain test list ini kami juga melakukan testing terhadap bussiness logic aplikasi). Scope dapat disesuaikan dengan kebutuhan spesifik Anda.

Business Logic Flaws
SQL Injection
XSS (Stored/Reflected/DOM)
File Inclusion (LFI/RFI)
Insecure File Upload
Directory Traversal
Broken Access Control
Admin Page Exposure
Server-Side Request Forgery
Code Execution (RCE)
CSRF
Clickjacking
Weak Password / Brute Force
Host Header Attack
Git Repository Exposure
LDAP Injection
Information Disclosure
Backup Data Exposure
Privilege Escalation
JWT / Auth Token Flaws
API Security Testing
SSL/TLS Misconfiguration
Insecure Deserialization
XXE Injection
Mulai Sekarang

Siap mengamankan sistem Anda?

Ceritakan tentang sistem yang ingin Anda uji. Tim kami akan menyiapkan penawaran yang sesuai dengan scope, timeline, dan anggaran Anda.