Penetration testing adalah serangkaian proses berisi prosedur dan teknik mengevaluasi keamanan terhadap sistem komputer atau jaringan dengan melakukan simulasi penyerangan untuk mengetahui letak celah-celah kerawanan pada sistem agar kemudian celah tersebut ditutup/diperbaiki. Penetration testing dilakukan sebagai langkah preventive untuk mengatasi terjadinya peretasan pada suatu sistem.

Secara umum penetration testing terdiri dari 4 tahap, yakni planning, information gathering, vulnerability assessment,Exploiting, dan reporting.

Di tahap planning. biasanya dibicarakan ruang lingkup pentest, jangka waktu, dokumen legal (NDA), jumlah tim yang dibutuhkan serta apakah staff dan karyawan diberitahukan terlebih dahulu atau tidak tentang adanya pentest, dll.

Langkah berikutnya adalah information gathering dan analysis. Pada tahapan ini dikumpulkan semua informasi tentang sistem target. Ada banyak alat bantu yang bisa digunakan. Kemudian dilakukan network survey untuk mengumpulkan informasi domain, server, layanan yang ada, ip address, host, firewall, dll.

Selanjutnya adalah vulnerability assessment. Setelah mengetahui informasi tentang sistem, pencarian celah keamanan bisa dilakukan manual atau secara automatis tergantung pada tools yang digunakan.

Setelah menemukan celah keamanan, maka langkah berikutnya exploit, yakni percobaan penyerangan (penetration attempt). Pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat. Umumnya diperlukan juga kemampuan password cracking. Cara lain yang dapat dilakukan adalah dengan melakukan social engineering dan pengujian physical security dari sistem.

Terakhir adalah Reporting. Laporan berisi langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan perbaikan. Tahapan selanjutnya biasanya tindak lanjut, yang biasanya harus dilakukan bersama-sama dengan admin untuk memperbaiki sistem.

Penetration testing berbeda dengan sekedar hacking atau cracking. Pentestdilakukan secara legal, dapat dipertanggungjawabkan, dan memiliki tujuan yang tidak melanggar hukum.

Untuk menjadi seorang pentester ada beberapa hal yang perlu dipahami seperti konsep infrastruktur jaringan/network, Sistem Operasi/Aplikasi, Tools penetration testing, dan tentu saja license atau Sertifikasi di bidang ini seperti CEH, CAST, LPT, OSCP, OSCE, dll.

 

Apa itu Penetration Testing?

Penetration testing atau sering disingkat menjadi pentest merupakan istilah untuk pengujian terhadap kehandalan suatu sistem dan mendokumentasikan tingkat keamanan aplikasi, sistem komputer, atau jaringan. Jika ditemukan kelemahan suatu sistem maka dengan segera akan dilakukan patch/penambalan sehingga keamanan sistem akan menjadi lebih kuat. Pentest dilakukan sesuai konteks hukum yang legal, dengan kontrak antara auditor/pentester dengan perusahaan yang ingin dilakukan pentest.

 

Target umum untuk penetrasi testing meliputi:

  1. Layanan yang menggunakan internet (website, VPN endpoint, infrastruktur e-mail, extranet, dll)
  2. Sistem internal atau servis yang ada di jaringan (Active Directory, Exchange, dll)
  3. Aplikasi tertentu (dibeli atau dikembangkan sendiri oleh suatu perusahaan)
  4. Jaringan internal
  5. Karyawan perusahaan

Mengapa perlu melakukan pentest?

Tujuan dasar dari pentest adalah untuk mengidentifikasi adanya kelemahan keamanan dalam aplikasi, komputer, atau jaringan. Jika kelemahan dapat diidentifikasi dan dapat dibuktikan beserta dengan analisis resikonya, maka anda akan memiliki kemampuan dan waktu untuk memperbaikinya sebelum seseorang yang tidak berkepentingan mengambil keuntungan dari kelemahan tersebut.

Mengapa memilih Solo Desain untuk melakukan pentest?

Solo Desain memiliki pentester yang kredibel dan telah memiliki banyak acknowledgment baik dari dalam negeri maupun luar negeri. Kami melakukan pentest secara manual sebanyak 80% dari seluruh kegiatan pentest (lihat bagaimana pentester kami menemukan celah keamanan pada tokopedia secara manual yang tools automation scanner berbayar sekalipun tidak dapat menemukan : Tokopedia bug bounty program). Selain hal tersebut harga yang kami tawarkan juga merupakan harga kompetitif.

Layanan pentest Solo Desain

Kami menyediakan jasa pentest dengan 2 metode yaitu sebagai berikut :

  • Blackbox Testing, yaitu melakukan penetrasi tanpa mengetahui apapun mengenai sistem yang anda gunakan selain domain aplikasi anda.
  • Whitebox Testing, yaitu melakukan penetrasi dengan mengetahui informasi mengenai sistem dan logic yang anda gunakan, dimana kami akan mempelajari logic dari pemrograman aplikasi anda (Code review) sehingga menjadikan eksplorasi ditemukannya vulnerable/kelemahan lebih baik.

 

Kami membagi lagi ruang lingkup audit pentest sesuai tingkatan yang perusahaan anda butuhkan :

Level 1: General Vulnerability Scanning

Pada level ini kami mengumpulkan informasi sebanyak-banyaknya, mengidentifikasi semua kelemahan yang mungkin didapat dan mem-verifikasi kelemahan/vulnerability tersebut. Pada tingkatan ini kami akan memberikan kelemahan-kelemahan penting yang ditemukan selama proses assesment namun tidak sampai pada tahap penetrasi. Tingkatan ini cocok untuk customer yang memiliki kebutuhan hanya untuk melakukan cek keamanan secara global dan berulang/rutin.

Audit level 1 memiliki tahapan pengerjaan seperti berikut :

  1. Footprinting, mencari informasi sebanyak mungkin tentang target
  2. Port scanning
  3. Identifikasi dan enumerasi service
  4. Vulnerability scanning
  5. Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

 

Level 2: Penetration Testing

Audit ini mencakup semua tahapan di level 1 ditambah beberapa proses lagi. Dari hasil yang diperoleh dari audit level 1, kami akan melakukan penetrasi guna membuktikan bahwa kelemahan tersebut valid dan kami berikan PoC (Proof of Concept). Keuntungan dari audit level 2 adalah customer akan mendapatkan informasi keamanan yang lebih rinci dan realistis.

Audit level 2 memiliki cakupan seperti berikut :

  • Footprinting, mencari informasi sebanyak mungkin tentang target
  • Port scanning
  • Identifikasi dan enumerasi service
  • Vulnerability scanning
  • Penetration Testing
  • Vulnerability exploitation
  • CVSS Scoring (kalkulasi tingkat resiko yang dihasilkan dari kelemahan yang didapat)
  • Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

 

Level 3: Full Penetration Testing

Audit ini mencakup semua tahapan di level 2 ditambah beberapa proses lagi pada bagian penetration testing. Dari hasil yang diperoleh dari audit level 2, akan dilakukan proses eksploitasi lebih lanjut. Keuntungan dari audit level 3 adalah audit ini dapat membantu memvalidasi security policy perusahaan anda.

Audit level 2 memiliki cakupan seperti berikut :

  • Footprinting, mencari informasi sebanyak mungkin tentang target
  • Port scanning
  • Identifikasi dan enumerasi service
  • Vulnerability scanning
  • Penetration Testing
  • Vulnerability exploitation
  • Brute forcing
  • Password cracking
  • Privilege escalation
  • Gaining root
  • CVSS Scoring
  • Laporan komprehensif mengenai detail yang diperoleh dari tahapan-tahapan tersebut

Note: Kami sangat fleksibel, kami dapat melakukan sesuai spesifikasi yang diperlukan saja.
Penetration Testing Vectors

Varian vektor keamanan yang akan diuji pada saat penetrasi adalah :

  • Bussiness logic
  • SQL injection
  • XSS
  • File Inclusion
  • File upload
  • Directory Traversal
  • Access database found
  • Access Admin Page found
  • Apache exploit
  • Application Error Message
  • File Manager Script Exploit
  • Code Execution
  • Clickjacking
  • CSRF Information Disclosure
  • File Tampering
  • Weak Password
  • Host Header Attack
  • Git Repository Found
  • LDAP Injection
  • PHPinfo Page Found
  • Backup Data Found

Jika anda memiliki pertanyaaan silahkan hubungi kami di hotline : +62 8812941957

 

Penetration testing atau pentest merupakan istilah yang sering digunakan saat seseorang melakukan kegiatan pengujian sebuah sistem atau aplikasi. Kegiatan pengujian ini dilakukan untuk mengetahui apakah sistem keamanan yang terdapat pada sistem atau aplikasi mempunyai celah sehingga dapat segera diperbaiki dengan melakukan patch atau penambalan sehingga sistem keamanan yang terdapat pada suatu sistem atau aplikasi tersebut menjadi semakin kuat. Selain melakukan pengujian, kegiatan pentest juga melakukan dokumentasi sistem keamanan dari sistem atau aplikasi yang akan dilakukan pentest untuk selanjutnya dibuatkan laporan atau report kepada perusahaan/ pelanggan.

Sebelum melakukan pentest, biasanya akan terjadi kontrak antara auditor/ pentester dengan perusahaan yang ingin aplikasi atau sistemnya dilakukan pentest. Hal ini dalam konteks hukum merupakan kegiatan legal karena sebelumnya telah terjadi kontrak antara keduanya.

Adapun target umum untuk melakukan penetrasi testing, yaitu meliputi:

Layanan yang menggunakan koneksi internet (website, VPN endpoint, infrastruktur e-mail, extranet, dan lain-lain).
Sistem internal atau servis yang terdapat di dalam jaringan (Active Drectory, Exchange, dan lain-lain)
Beberapa aplikasi tertentu (dibeli atau dikembangkan sendiri oleh perusahaan)
Jaringan internal
Karyawan perusahaan

Typing

Lalu mengapa pentest diperlukan?
Pentest dilakukan sebenarnya untuk mengidentifikasi apakan terdapat kelemahan keamanan di dalam sebuah aplikasi, komputer atau jaringan. Jika kelemahan ditemukan dan dapat dibuktikan dengan beberapa analisa resikonya, maka Anda akan mempunyai waktu untuk dapat memperbaikinya sebelum seseorang yang tidak bertanggung jawab mengambil kesempatan dari kelemahan yang ditemukan tersebut.

Apa kelebihan dan kekurangan pentest?
Teknik penetration testing mempunyai beberapa kelebihan dan kekurangan, antara lain yaitu:

Kelebihan

  • Dapat dilakukan secara cepat dengan sedikit waktu sehingga harganya murah
  • Keterampilan yang dibutuhkan untuk melakukan teknik pengujian pentest relative lebih rendah jika dibandingkan dengan melakukan teknik pengujian menggunakan pemeriksaan source code
  • Pengujian langsung dilakukan pada kode yang digunakan (exposed)

Kekurangan

  • Terlalu lambat jika dilakukan dalam SDLC
  • Hanya melakukan pengujian pada dampak depannya saja

Mengapa harus memilih Solo Desain Digital Indonesia untuk melakukan pentest?

Hal ini karena Solo Desain Digital Indonesia mempunyai pentester yang telah berpengalaman dalam menemukan celah keamanan yang terdapat pada beberapa website rekanan bisnis mereka. Selain itu, pentester yang terdapat di Solo Desain Digital Indonesia juga menerapkan standar operasional yang digunakan oleh semua pentester di seluruh dunia.

Metode apa yang digunakan Solo Desain Digital Indonesia dalam melakukan pentest?
Dalam melakukan pentest, Solo Desain Digital Indonesia mempunyai 3 metode yang dapat digunakan, antara lain yaitu:

Black Box Testing
Merupakan pengujian yang dilakukan berdasarkan detail aplikasi, seperti tampilan aplikasi, fungsi-fungsi yang terdapat pada aplikasi, serta penyesuaian alur fungsi pada aplikasi dengan bisnis yang diinginkan oleh pelanggan. Pengujian ini dilakukan tanpa melihat dan menguji source code program yang ada pada aplikasi.

White Box Testing
Merupakan pengujian yang dilakukan berdasarkan detail prosedur serta alur logika dari sebuah kode program. Pada metode ini, tester akan melihat keseluruhan source code sebuah program untuk menemukan bugs dari kode program tersebut.

Grey Box Testing
Merupakan metode pengujian yang berasal dari kombinasi Black Box dan White Box. Dimana pentester melakukan pengujian aplikasi berdasarkan spesifikasi namun menggunakan cara kerja dari dalam aplikasi tersebut alias source code program.

Apa saja tahapan-tahapan yang dilakukan Solo Desain dalam melakukan penetration testing?
Solo Desain Digital Indonesia menggunakan standar penetration testing international sebagai acuan pelaksanaan dalam melakukan pengujian, antara lain yaitu:

Step 1

Reconnaissance
Yaitu tahapan dimana pentester Solo Desain akan mengumpulkan data awal atau beberapa hal yang diperlukan untuk klien. Setelah data dikumpulkan, maka pentester akan dapat dengan mudah merencanakan serangan secara lebih baik. Pengintaian ini dapat dilakukan dengan dua cara, yaitu secara aktif (secara langsung menyentuh target yang ditentukan) dan secara pasif (pengintaian dilakukan melalui perantara).

Step 2

Scanning
Pada tahapan ini diperlukan sebuah aplikasi sebagai alat teknis untuk mengumpulkan berbagai data lanjutan pada target yang telah kita tentukan. Pada tahapan ini data yang dicari lebih umum, yaitu mengenai sistem yang mereka miliki.

Step 3

Gaining Access
Pada fase ini, pentester perlu untuk mendapatkan akses untuk mengambil alih kendali dari satu atau lebih perangkat jaringan untuk selanjutnya mengekstrak data dari target, untuk selanjutnya menggunakan perangkat tersebut untuk meluncurkan serangan pada target lainnya.

Step 4

Maintaining Access
Yaitu tahapan dimana pentester akan membuat beberapa langkah-langkah yang diperlukan agar tetap berada di lingkungan target dengan tujuan untuk mengumpulkan data sebanyak mungkin. Pada fase ini, penyerang harus tetap dalam kondisi diam agar tidak dapat tertangkap ketika sedang menggunakan lingkungan host.

Step 5

Gaining Access
Pada fase ini, pentester perlu untuk mendapatkan akses untuk mengambil alih kendali dari satu atau lebih perangkat jaringan untuk selanjutnya mengekstrak data dari target, untuk selanjutnya menggunakan perangkat tersebut untuk meluncurkan serangan pada target lainnya.

Step 6

Maintaining Access
Yaitu tahapan dimana pentester akan membuat beberapa langkah-langkah yang diperlukan agar tetap berada di lingkungan target dengan tujuan untuk mengumpulkan data sebanyak mungkin. Pada fase ini, penyerang harus tetap dalam kondisi diam agar tidak dapat tertangkap ketika sedang menggunakan lingkungan host.

Step 6

Covering Tracks
Yaitu tahapan terakhir dimana pentester akan menutupi track sehingga memaksa penyerang untuk mengambil langkah-langkah yang diperlukan untuk menghapus semua kemiripan saat dilakukan pendeteksian. Setiap perubahan yang telah dilakukan, otorisasi yang telah ditingkatkan dan lain-lain. Semuanya harus kembali dalam keadaan non-recognition (tidak diakui) oleh seorang host administrator jaringan.

Berapakah harga layanan yang ditawarkan oleh Solo Desain untuk melakukan Pentest tersebut? 15 juta

Dalam melakukan kegiatan pentest mulai dari tahapan awal (preparation), tahapan pengujian (assessment) dan tahapan pelaporan (reporting). Solo Desain Digital Indonesia menawarkan harga mulai dari Rp 10 juta tergantung dari jenis aplikasi atau sistem yang akan dilakukan pengujian.

 

FAQ

Sertifikat apakah yang dimiliki oleh team security dari Solo Desain?

Seluruh tim security Solo Desain telah bersertifikasi CEH (Certified Ethical Hacker) dan CSCU (Certified Secure Computer User) dari EC-Coucil.

Dalam melakukan pengetesan sistem, standar apakah yang digunakan oleh security team dari Solo Desain?

Standar yang digunakan oleh security team Solo Desain dalam melakukan pengetesan sistem pada setiap project testing kami adalah OWASP (Open Web Application Security Project).

Berapakah harga layanan pengetesan sistem keamanan dari Solo Desain?

Dalam melakukan pengetesan sistem mulai dari tahapan awal (preparation), tahapan pengujian (assessment) dan tahapan pelaporan (reporting), Solo Desain menawarkan harga mulai dari Rp 15 juta, tergantung dari jenis aplikasi serta sistem yang akan diuji. Untuk mengetahui informasi lebih lanjut, Anda dapat langsung menghubungi kami melalui email ke info@solodesain.com atau di nomor telepon atau melalui pesan WhatsApp di nomor 08812941957

Dalam melakukan pengetesan, apakah security team Solo Desain hanya mengandalkan automated tools?

Tidak, automated tools hanya kami gunakan saat melakukan scanning. Sedangkan, untuk penetration testing, security team Solo Desain menggunakan metode manual saat proses pengetesannya.

Berapa lama waktu yang dibutuhkan tim Solo Desain dalam melakukan pengetesan sistem?

Dalam melakukan pengetesan sistem, tergantung dari ruang lingkupnya. Namun, pada umumnya memakan waktu 1 minggu.

Mengapa perlu dilakukan pentest pada sebuah sistem?

Dengan melakukan pentest, Anda akan mendapatkan gambaran mengenai seberapa kuat pertahanan sistem Anda dalam menghadapi kejahatan cyber dan berbagai gangguan lainnya.

Apa saja yang dibutuhkan sebelum melakukan pentest?

Sebelum melakukan pengetesan sistem, klien hanya perlu menjelaskan proses sistem yang terjadi. Data-data pendukung lainnya juga dapat Anda serahkan jika diperlukan.

Apa perbedaan antara VA test dan Pentest?

VA test hanya mengandalkan automated tools dalam melakukan scanning terhadap “well-known” vulnerability dan seringkali tools tersebut sifatnya general sehingga tidak dapat menemukan case-case yang sifatnya lebih spesifik.

Apa perbedaan antara whitebox dan blackbox?

Dalam testing whitebox, pentester akan mendapatkan akses secara penuh ke dalam sistem yang diuji sehingga bisa melakukan static analisis terhadap berbagai hal, seperti kode, architecture analysis dan lain-lain. Sedangkan untuk blackbox, pentester akan berperan layaknya hacker yang akan menyerang dari luar dan berusaha masuk ke dalam sistem menggunakan informasi awal seminimal mungkin.

Layanan Solo Desain :

Leave a comment