Pengujian penetrasi atau pentest adalah simulasi resmi serangan pada sistem, jaringan, atau aplikasi untuk menemukan kerentanan potensial yang dapat dieksploitasi. Metodologi penetration testing dapat secara umum ditempatkan ke dalam 3 kategori, pengujian blackbox, greybox atau whitebox.
- Model Pengujian Blackbox
Pengujian ini dilakukan dari perspektif orang luar dengan pengetahuan terbatas tentang aplikasi, jaringan, sistem, atau kebijakan yang ada. Ini mensimulasikan skenario serangan yang realistis tetapi juga bisa datang dengan kerugian. Waktu yang dihabiskan oleh penguji atau pentester dalam skenario ini mungkin tidak sepenuhnya dimaksimalkan dan beberapa komponen mungkin tidak diuji.
- Model Pengujian Whitebox
Pengujian ini dilakukan dengan pengetahuan penuh tentang target yang relevan, yang dapat diperoleh dari dokumen spesifikasi fungsional dan teknis, diagram jaringan dan arsitektur, akses akun istimewa, dan sumber informasi lainnya. Ini menghasilkan pengujian yang lebih menyeluruh yang idealnya menjangkau semua area aplikasi, seperti desain arsitektur dan masalah yang timbul dari praktik pengkodean. Namun, bentuk pengujian ini membutuhkan lebih banyak upaya untuk dilakukan dan mungkin menghadirkan pandangan pesimistis tentang masalah dan risiko terkait target.
- Model Pengujian Greybox
Pengujian ini terletak di antara pengujian blackbox dan whitebox, dengan pentester memiliki sebagian pengetahuan tentang target.
Baca juga : Apa Itu Penetration Testing?
Ada banyak cara untuk menggambarkan proses pengujian penetrasi, tetapi secara umum dapat disusun menjadi 6 langkah:
- Perencanaan (Planning)
- Pengintaian (Reconnaissance)
- Pemodelan Ancaman (Threat Modeling)
- Pengujian dan Eksploitasi (Testing and Exploitation)
- Pasca Eksploitasi (Post Exploitation)
- Pelaporan (Reporting)
Pada tahap perencanaan, tujuannya adalah untuk memastikan kelancaran pelaksanaan uji penetrasi. Pada tahap ini, akan dilakukan pemutusan untuk ruang lingkup pengujian, termasuk jenis tes (blackbox, greybox atau whitebox), perusahaan sambil mengatasi batasan lain seperti jangka waktu dan aturan keterlibatan. Persyaratan logistik seperti akun yang digunakan untuk pengujian, kunci, whitelist IP atau Dokumen Spesifikasi Teknis, Dokumen Spesifikasi Fungsional, dan Dokumen Desain Arsitektur.
Dalam fase pengintaian, dilakukan pengumpulan informasi tentang target untuk mendapatkan informasi tentang kemungkinan vektor serangan. Secara umum, ini adalah pengumpulan Open Source Intelligence dari sumber publik, yang dapat berkisar dari metode pasif hingga aktif.
- Metode pasif tidak melibatkan interaksi langsung dengan target, dan terdiri dari informasi yang dikumpulkan dari pihak ketiga, seperti kueri WHOIS.
- Metode aktif dapat mencakup pemindaian port, pengambilan spanduk, dan transfer zona. Ada banyak alat yang dapat melakukannya, seperti nmap, serta metode kueri yang berbeda untuk menghindari deteksi oleh host.
Dalam fase pemodelan ancaman, mendefinisikan aset dan proses yang dapat menjadi target serangan dan potensi dampak pada perusahaan. Potensi agen dan kemampuan ancaman juga merupakan bagian dari analisis dan diperhitungkan.
Selama fase pengujian dan eksploitasi, akan ditemukan kerentanan dalam sistem dan aplikasi dan akan dicoba untuk memvalidasinya dengan memengaruhi Kerahasiaan, Integritas, dan/atau Ketersediaan. Setelah menemukan kerentanan potensial, mengeksploitasinya bisa terjadi dalam berbagai cara. Ini bisa sesederhana memberikan input yang tidak terduga, menulis skrip python untuk menghasilkan urutan input, sejumlah besar teks untuk buffer overflow atau menggunakan modul metasploit untuk mengeksekusi shell terbalik, untuk mengunggah dan menjalankan webshell.
Fase pasca eksploitasi menjelaskan sejumlah tindakan, tetapi umumnya akan mencakup pemusnahan data, mempertahankan kegigihan, dan menutupi jejak eksploitasi. Mengekstrak data dapat dilakukan melalui transfer FTP, menampilkan melalui akses shell atau sejumlah metode lainnya. Mempertahankan kegigihan memastikan bahwa penyerang, misalnya Horangi, dapat tetap berada dalam lingkungan target, bahkan jika peristiwa seperti perubahan kata sandi terjadi, atau host dimuat ulang. Contohnya adalah mengunggah webshell atau mengaktifkan layanan akses jarak jauh dan membuat akun untuk akses.
Terakhir, fase pelaporan sangat penting dalam mengkomunikasikan temuan. Lingkup pengujian, penilaian risiko, rekomendasi untuk perbaikan, pendekatan dan tujuan harus dinyatakan dengan jelas.
Demikian metodologi penetration testing yang bisa kamu jadikan referensi, Nah, untuk lebih lengkapnya kamu bisa langsung konsultasi dengan ahli IT di Proxsis Biztech. Sebagai partner end-to-end solution transformasi digital perusahaan di Indonesia, Proxsis Biztech telah membantu beberapa perusahaan besar di Indonesia untuk mendukung keamanan informasi perusahaannya dan siap bertransformasi digital sepenuhnya.
Referensi:
https://www.horangi.com/blog/pentesting-methodology-101