Penetration Testing

Apa itu Penetration Testing

Penetration testing atau sering disingkat menjadi pentest merupakan istilah untuk pengujian terhadap kehandalan suatu sistem dan mendokumentasikan tingkat keamanan aplikasi, sistem komputer, atau jaringan. Jika ditemukan kelemahan suatu sistem maka dengan segera akan dilakukan patch/penambalan sehingga keamanan sistem akan menjadi lebih kuat. Pentest dilakukan sesuai konteks hukum yang legal, dengan kontrak antara auditor/pentester dengan perusahaan yang ingin dilakukan pentest.

Target umum untuk penetrasi testing meliputi:

  • Layanan yang menggunakan internet (website, VPN endpoint, infrastruktur e-mail, extranet, dll)
  • Sistem internal atau servis yang ada di jaringan (Active Directory, Exchange, dll)
  • Aplikasi tertentu (dibeli atau dikembangkan sendiri oleh suatu perusahaan)
  • Jaringan internal
  • Karyawan perusahaan

Mengapa perlu melakukan pentest?

Tujuan dasar dari pentest adalah untuk mengidentifikasi adanya kelemahan keamanan dalam aplikasi, komputer, atau jaringan. Jika kelemahan dapat diidentifikasi dan dapat dibuktikan beserta dengan analisis resikonya, maka anda akan memiliki kemampuan dan waktu untuk memperbaikinya sebelum seseorang yang tidak berkepentingan mengambil keuntungan dari kelemahan tersebut.

Layanan Pentest Ethic Ninja

Kami menyediakan jasa pentest dengan 2 metode yaitu sebagai berikut :

  1. Blackbox Testing, yaitu melakukan penetrasi tanpa mengetahui apapun mengenai sistem yang anda gunakan selain domain aplikasi anda.
  2. Whitebox Testing, yaitu melakukan penetrasi dengan mengetahui informasi mengenai sistem dan logic yang anda gunakan, dimana kami akan mempelajari logic dari pemrograman aplikasi anda (Code review) sehingga menjadikan eksplorasi ditemukannya vulnerable/kelemahan lebih baik.

Kami membagi lagi ruang lingkup audit pentest sesuai tingkatan yang perusahaan anda butuhkan :

Level 1: General Vulnerability Scanning

Pada level ini kami mengumpulkan informasi sebanyak-banyaknya, mengidentifikasi semua kelemahan yang mungkin didapat dan mem-verifikasi kelemahan/vulnerability tersebut. Pada tingkatan ini kami akan memberikan kelemahan-kelemahan penting yang ditemukan selama proses assesment namun tidak sampai pada tahap penetrasi. Tingkatan ini cocok untuk customer yang memiliki kebutuhan hanya untuk melakukan cek keamanan secara global dan berulang/rutin.

Audit level 1 memiliki tahapan pengerjaan seperti berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Social engineering
  6. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Level 2: Penetration Testing

Audit ini mencakup semua tahapan di level 1 ditambah beberapa proses lagi. Dari hasil yang diperoleh dari audit level 1, kami akan melakukan penetrasi guna membuktikan bahwa kelemahan tersebut valid dan kami berikan PoC (Proof of Concept). Keuntungan dari audit level 2 adalah customer akan mendapatkan informasi keamanan yang lebih rinci dan realistis.

Audit level 2 memiliki cakupan seperti berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Penetration Testing
    • Vulnerability exploitation
    • CVSS Scoring (kalkulasi tingkat resiko yang dihasilkan dari kelemahan yang didapat)
  6. Social engineering
  7. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Level 3: Full Penetration Testing

Audit ini mencakup semua tahapan di level 2 ditambah beberapa proses lagi pada bagian penetration testing. Dari hasil yang diperoleh dari audit level 2, akan dilakukan proses eksploitasi lebih lanjut. Keuntungan dari audit level 3 adalah audit ini dapat membantu memvalidasi security policy perusahaan anda.

Audit level 2 memiliki cakupan seperti berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Penetration Testing
    • Vulnerability exploitation
    • Brute forcing
    • Password cracking
    • Privilege escalation
    • Gaining root
    • CVSS Scoring
  6. Social engineering
  7. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Note: Kami sangat fleksibel, kami dapat melakukan sesuai spesifikasi yang diperlukan saja.

Penetration Testing Vectors

Varian vektor keamanan yang akan diuji pada saat penetrasi adalah :

  1. SQLinjection
  2. XSS
  3. File Inclusion
  4. File upload
  5. Directory Traversal
  6. Access database found
  7. Access Admin Page found
  8. Apache exploit
  9. Application Error Message
  10. File Manager Script Exploit
  11. Code Execution
  12. Clickjacking
  13. CSRF Information Disclosure
  14. File Tampering
  15. Weak Password
  16. Host Header Attack
  17. Git Repository Found
  18. LDAP Injection
  19. PHPinfo Page Found
  20. Backup Data Found

Jika anda memiliki pertanyaaan silahkan hubungi kami di hotline : +62 812 8000 1337 atau email : info@ethic.ninja