Serba Serbi Penetration Testing Pentest
Serba Serbi Penetration Testing Pentest
Contoh Area Pekerjaan (SoW) Penetration Testing
1. Metode BlackBox2. Footprinting, mencari informasi sebanyak mungkin tentang target.
3. Port scanning.
4. Identifikasi dan enumerasi layanan Aplikasi yang dimaksud.
5. Vulnerability scanning.
6. CVSS Scoring (kalkulasi tingkat resiko yang dihasilkan dari kelemahan sistem).
Metode
Black box, penguji atau tester tidak dibekali informasi apapun mengenai sistem yang akan diuji, baik itu infrastruktur atau source code yang digunakan. Mereka diposisikan seperti seorang hacker yang harus mengeksploitasi sistem untuk mencari celah keamanan yang dapat diretas.
Grey box, penguji memiliki akses dan informasi hanya sebatas sebagai pengguna. Tujuannya untuk memberikan penilaian keamanan yang lebih efisien daripada black box. Dengan memiliki sejumlah informasi, mereka dapat menguji sistem keamanan dan mensimulasikan serangan.
White box dilakukan ketika perusahaan ingin mendeteksi kerentanan sekecil apapun di dalam sistem. Hal ini yang membuat pengujian ini membutuhkan waktu yang cukup lama. Dalam proses testing, penguji memiliki akses ke semua informasi yang dibutuhkan. Hal ini membuat penguji dapat memeriksa sistem secara menyeluruh.
Lokasi
External Pentest adalah pengujian dilakukan dari luar jaringan wilayah dimana target berada (internet).
Internal Pentest adalah pengujian dilakukan dari dalam jaringan dimana target berada (dalam 1 jaringan, umumnya menggunakan IP lokal dalam satu area dengan target).
Biaya
Bergantung pada jenis Aplikasi, Metode, SoW dan Lokasi.
Saran
Jika yang dilakukan pentest adalah aplikasi produksi, pastikan sudah memiliki sistem fail-over untuk mengurangi downtime jika kegiatan pentest menyebabkan aplikasi lambat atau bahkan gagal.