Penetration Testing

Apa itu Penetration Testing

Penetration testing atau sering disingkat menjadi pentest merupakan istilah untuk pengujian terhadap kehandalan suatu sistem dan mendokumentasikan tingkat keamanan aplikasi, sistem komputer, atau jaringan. Jika ditemukan kelemahan suatu sistem maka dengan segera akan dilakukan patch/penambalan sehingga keamanan sistem akan menjadi lebih kuat. Pentest dilakukan sesuai konteks hukum yang legal, dengan kontrak antara auditor/pentester dengan perusahaan yang ingin dilakukan pentest.

Target umum untuk penetrasi testing meliputi:

  • Layanan yang menggunakan internet (website, VPN endpoint, infrastruktur e-mail, extranet, dll)
  • Sistem internal atau servis yang ada di jaringan (Active Directory, Exchange, dll)
  • Aplikasi tertentu (dibeli atau dikembangkan sendiri oleh suatu perusahaan)
  • Jaringan internal
  • Karyawan perusahaan

Mengapa perlu melakukan pentest?

Tujuan dasar dari pentest adalah untuk mengidentifikasi adanya kelemahan keamanan dalam aplikasi, komputer, atau jaringan. Jika kelemahan dapat diidentifikasi dan dapat dibuktikan beserta dengan analisis resikonya, maka anda akan memiliki kemampuan dan waktu untuk memperbaikinya sebelum seseorang yang tidak berkepentingan mengambil keuntungan dari kelemahan tersebut.

Mengapa memilih Ethic Ninja untuk melakukan pentest?

Ethic Ninja memiliki pentester yang kredibel dan telah memiliki banyak acknowledgment baik dari dalam negeri maupun luar negeri. Kami melakukan pentest secara manual sebanyak 80% dari seluruh kegiatan pentest (lihat bagaimana pentester kami menemukan celah keamanan pada tokopedia secara manual yang tools automation scanner berbayar sekalipun tidak dapat menemukan : Tokopedia bug bounty program). Selain hal tersebut harga yang kami tawarkan juga merupakan harga kompetitif.

Layanan pentest Ethic Ninja

Kami menyediakan jasa pentest dengan 2 metode yaitu sebagai berikut :

  1. Blackbox Testing, yaitu melakukan penetrasi tanpa mengetahui apapun mengenai sistem yang anda gunakan selain domain aplikasi anda.
  2. Whitebox Testing, yaitu melakukan penetrasi dengan mengetahui informasi mengenai sistem dan logic yang anda gunakan, dimana kami akan mempelajari logic dari pemrograman aplikasi anda (Code review) sehingga menjadikan eksplorasi ditemukannya vulnerable/kelemahan lebih baik.

Kami membagi lagi ruang lingkup audit pentest sesuai tingkatan yang perusahaan anda butuhkan :

Level 1: General Vulnerability Scanning

Pada level ini kami mengumpulkan informasi sebanyak-banyaknya, mengidentifikasi semua kelemahan yang mungkin didapat dan mem-verifikasi kelemahan/vulnerability tersebut. Pada tingkatan ini kami akan memberikan kelemahan-kelemahan penting yang ditemukan selama proses assesment namun tidak sampai pada tahap penetrasi. Tingkatan ini cocok untuk customer yang memiliki kebutuhan hanya untuk melakukan cek keamanan secara global dan berulang/rutin.

Audit level 1 memiliki tahapan pengerjaan seperti berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Level 2: Penetration Testing

Audit ini mencakup semua tahapan di level 1 ditambah beberapa proses lagi. Dari hasil yang diperoleh dari audit level 1, kami akan melakukan penetrasi guna membuktikan bahwa kelemahan tersebut valid dan kami berikan PoC (Proof of Concept). Keuntungan dari audit level 2 adalah customer akan mendapatkan informasi keamanan yang lebih rinci dan realistis.

Audit level 2 memiliki cakupan seperti berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Penetration Testing
    • Vulnerability exploitation
    • CVSS Scoring (kalkulasi tingkat resiko yang dihasilkan dari kelemahan yang didapat)
  6. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Level 3: Full Penetration Testing

Audit ini mencakup semua tahapan di level 2 ditambah beberapa proses lagi pada bagian penetration testing. Dari hasil yang diperoleh dari audit level 2, akan dilakukan proses eksploitasi lebih lanjut. Keuntungan dari audit level 3 adalah audit ini dapat membantu memvalidasi security policy perusahaan anda.

Audit level 2 memiliki cakupan seperti berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Penetration Testing
    • Vulnerability exploitation
    • Brute forcing
    • Password cracking
    • Privilege escalation
    • Gaining root
    • CVSS Scoring
  6. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Note: Kami sangat fleksibel, kami dapat melakukan sesuai spesifikasi yang diperlukan saja.

Penetration Testing Vectors

Varian vektor keamanan yang akan diuji pada saat penetrasi adalah :

  1. Bussiness logic
  2. SQL injection
  3. XSS
  4. File Inclusion
  5. File upload
  6. Directory Traversal
  7. Access database found
  8. Access Admin Page found
  9. Apache exploit
  10. Application Error Message
  11. File Manager Script Exploit
  12. Code Execution
  13. Clickjacking
  14. CSRF Information Disclosure
  15. File Tampering
  16. Weak Password
  17. Host Header Attack
  18. Git Repository Found
  19. LDAP Injection
  20. PHPinfo Page Found
  21. Backup Data Found

Jika anda memiliki pertanyaaan silahkan hubungi kami di hotline : +62 812 8000 1337 atau email : info@ethic.ninja

Request Penawaran Harga Penetration Testing

 
 

Verification