Widget HTML Atas


Beranda / Artikel / pentest

Pentester bisanya apa?

Oleh hostmaster

Persiapan ini diperlukan sebagai pentester


Saat seorang pentester yang elegan (seseorang yang mendekati tugas dengan keterampilan, presisi, dan kecanggihan) mencoba memeriksa jaringan, mereka biasanya mengikuti pendekatan yang terstruktur dan metodis. Berikut cara mereka melakukannya:

1. Perencanaan dan Pengintaian

- Tujuan: Jelas mendefinisikan lingkup dan tujuan dari pengujian penetrasi. Tentukan sistem, jaringan, dan aplikasi apa saja yang akan diuji.

- Pengumpulan Informasi: Gunakan intelijen sumber terbuka (OSINT) untuk mengumpulkan informasi tentang jaringan target. Ini termasuk nama domain, rentang IP, layanan jaringan, dan titik masuk potensial.

2. Pemindaian dan Enumerasi

- Pemetaan Jaringan: Gunakan alat seperti Nmap untuk memetakan jaringan dan mengidentifikasi port terbuka, layanan, dan kerentanan potensial.

- Pemindaian Kerentanan: Gunakan alat otomatis seperti Nessus atau OpenVAS untuk memindai kerentanan yang dikenal dalam infrastruktur jaringan.

- Enumerasi: Gali lebih dalam ke layanan yang diidentifikasi untuk mengumpulkan informasi lebih detail. Ini mungkin termasuk mengidentifikasi versi layanan, akun pengguna, dan salah konfigurasi.

3. Eksploitasi

- Perencanaan Eksploitasi: Berdasarkan informasi yang dikumpulkan, rencanakan fase eksploitasi. Ini mungkin melibatkan penyesuaian atau pembuatan eksploit.

- Eksekusi: Jalankan eksploit yang direncanakan dengan hati-hati sambil memastikan gangguan minimal. Ini mungkin melibatkan eskalasi hak akses, pergerakan lateral, atau mengakses informasi sensitif.

- Dokumentasi: Dokumentasikan setiap langkah dan eksploit yang digunakan, termasuk bagaimana akses diperoleh dan informasi apa yang diakses.

4. Pasca-Eksploitasi

- Pivot: Jelajahi jaringan dari sistem yang terkompromi untuk menemukan kerentanan atau data sensitif lebih lanjut.

- Pengumpulan Data: Kumpulkan informasi sensitif, tetapi hanya sesuai dengan lingkup dan aturan keterlibatan.

- Memelihara Akses: Dalam beberapa pengujian, membangun akses persisten mungkin menjadi bagian dari tujuan, untuk menunjukkan risiko jangka panjang potensial.

5. Analisis dan Pelaporan

- Analisis: Analisis data dan tindakan yang diambil selama pengujian penetrasi. Identifikasi penyebab utama kerentanan.

- Penulisan Laporan: Siapkan laporan terperinci dengan temuan, kerentanan yang ditemukan, eksploit yang digunakan, dan bukti tindakan yang diambil.

- Rekomendasi: Berikan rekomendasi yang dapat dijalankan dan diprioritaskan untuk memperbaiki kerentanan yang teridentifikasi.

6. Pembersihan dan Debriefing

- Pembersihan: Hapus alat, skrip, atau backdoor apa pun yang dipasang di jaringan target.

- Debriefing: Presentasikan temuan kepada pemangku kepentingan, bahas implikasinya, dan beri nasihat tentang peningkatan keamanan.

7. Alat dan Teknik

- Alat Teknis: Nmap, Nessus, Metasploit, Wireshark, Burp Suite, dan skrip khusus.

- Keterampilan Lunak: Komunikasi yang jelas, pemikiran kritis, dan kemampuan pemecahan masalah.


8. Pertimbangan Etis

- Izin: Pastikan semua aktivitas diizinkan dan dalam lingkup yang disepakati.

- Kerahasiaan: Pertahankan kerahasiaan informasi sensitif apa pun yang ditemukan.


Seorang pentester yang elegan tidak hanya menemukan kerentanan tetapi juga memberikan wawasan berharga untuk meningkatkan postur keamanan secara keseluruhan, memastikan tindakan mereka etis, terkontrol, dan dalam lingkup keterlibatan yang disepakati.