Search
Close this search box.
Panduan Lengkap Teknik Dasar Penetration Testing untuk Pemula
Insight

Panduan Lengkap Teknik Dasar Penetration Testing untuk Pemula

by January 23, 2024
5/5 - (2 votes)

Menilai ketahanan sistem informasi memiliki peran penting untuk menjaga keamanan informasi. Keamanan informasi dapat dinilai berdasarkan penetration testing sebagai metode evaluasi keamanan. Penetration testing bekerja dengan mengidentifikasi dan mengeksplorasi kelemahan pada jaringan, sistem dan aplikasi. 

Keunggulan yang ditawarkan juga cukup menarik untuk kamu  sebagai pemula menggunakan penetration  testing dalam kehidupan sehari-hari. Dimulai dengan mengidentifikasi kerentanan, mengukur kekuatan keamanan, simulasi serangan nyata sampai bisa melakukan pencegahan kerugian finansial dan reputasi. 

Maka artikel ini bertujuan untuk membimbing kamu yang berkemungkinan berposisi sebagai pemula dalam memahami teknik dasar penetration testing.  Cakupan yang dibahas dimulai dengan memperkenalkan definisi penetration testing, sampai dengan pengenalan tentang praktikum virtual untuk pemula dalam penetration testing. 

Pengertian Penetration Testing 

Penetration testing didefinisikan sebagai proses untuk menciptakan aktivitas mengidentifikasi kelemahan keamanan pada aplikasi, jaringan ataupun sistem melalui tenaga profesional. Sehingga dalam penerapannya memiliki peran penting agar bisa menilai seberapa besar tingkat keamanan informasi yang ada pada sistem digital tersebut, guna dilakukan perbaikan. 

Hal ini dilakukan dengan mensimulasikan serangan yang dimungkinkan memaparkannya pada keamanan informasi, melalui mengidentifikasi titik lemah dan memberikan masukan untuk menjaga keamanannya. Tentu peran tersebut membawa keleluasaan dalam membantu organisasi untuk menghindari potensi risiko keamanan, serta menjaga aktivitas perusahaan atau organisasi tetap terus berlanjut tanpa adanya gangguan. 

Kendati demikian, perlu digaris bawahi penetration testing memiliki perbedaan  dengan uji penetrasi lainnya, meski keduanya membahas bagaimana cara menemukan kerentanan yang ada di web, jaringan ataupun aplikasi. Untuk perbedaannya terletak pada bentuk kata pengujian dan uji. Pada penetration testing atau pengujian penetrasi merupakan proses untuk mengidentifikasi keamanan informasi dari kerentanan berdasarkan penilaian. Sementara uji penetrasi ialah percobaan  untuk menguji keamanan informasi yang dikhawatirkan menyebabkan gangguan keamanan informasi bagi organisasi atau perusahaan. 

Baca juga : Jenis, Metode, dan Tools Penetration Testing Terpopuler

Persiapan Sebelum Memulai 

Langkah-Langkah Persiapan yang Perlu Dilakukan Sebelum Memulai Penetration Testing: 

  1. Kamu sebagai pemula harus menentukan sistem informasi bagian mana yang akan diuji. Pengujian aplikasi, jaringan atau sistem dilakukan berdasarkan lingkup batasan yang disesuaikan dengan kebutuhan organisasi atau perusahaan.
  2. Untuk melakukan penetration testing dibutuhkan persetujuan dari pemilik sistem atau aplikasi yang akan diuji. Persetujuan juga diminta dari pemangku kepentingan yang berkaitan dengan penetration testing. Jangan sampai kamu menjadi terhambat karena tidak mendapatkan persetujuan dari pihak-pihak yang berkepentingan tersebut. 
  3. Kontrak dan perjanjian dari pihak berkepentingan juga diperlukan. Kamu tidak akan tahu apa saja yang akan terjadi selama proses penetration testing berlangsung. Untuk menghindari hal yang tidak diinginkan susunan kontrak mencakup detail dari lingkup pengujian, batasan, tanggung jawab dan persyaratan kerahasiaan.
  4. Mempelajari infrastruktur IT dan juga arsitektur jaringan. Lalu yang menjadi pertanyaannya kenapa perlu mempelajarinya sebagai seorang pemula ? Sebab dengan mempelajarinya, kamu bisa mendapatkan pemahaman yang akan membantu untuk melakukan pengetesan dalam merencanakan dan melaksanakan serangan dengan lebih efektif tentunya. 
  5. Kamu juga perlu menentukan risiko yang ingin diuji dan mengidentifikasinya pada scenario serangan yang dimungkinkan terjadi. Lalu kamu harus fokus pada area yang lebih sensitif, sebab penyerangan bisa saja berawal dari sana.
  6. Memilih metode dan alat yang sesuai dengan lingkungan dan tujuan pengujian.
  7. Tim pengujian juga perlu dipersiapkan. Jangan lupa tim pengujian keamanan harus terlatih dan memahami lingkungan yang akan diuji. Sebab kamu harus menghindari situasi pusing sendiri, karena membutuhkan tim dengan kemampuan teknis dengan tugas yang dihadapi.
  8. Rencana darurat juga harus dipersiapkan, sebab ini penting dilakukan untuk kamu bersama organisasi atau perusahaan siap menghadapi insiden keamanan yang tidak terduga.
  9. Dokumentasi jangan lupa, pembuatannya juga harus mendetailkan prosedur pengujian, temuan keamanan yang diharapkan, dan rekomendasi perbaikan.
  10. Lakukan koordinasi dengan tim TI internal atau penyedia layanan, agar kamu semakin mantap dalam mempersiapkan langkah-langkah yang perlu dikerjakan sebelum memulai penetration testing

Pemahaman Tentang Etika dan Legalitas Penetration Testing :

Penetration testing dibenarkan jika kamu memenuhi beberapa hal dalam persoalan etika dan legalitas dimulai dengan persetujuan tertulis dari pemilik aplikasi atau sistem, keterbukaan dan transparansi kepada pemangku kepentingan mengenai seluk beluk penetration testing, menghormati privasi individu dan menjaga kerahasiaan data, serta tugas dilaksanakan secara profesional. 

Baca juga : Phishing Attack Simulation Melalui Penetration Testing Berbasis Email

Jenis-jenis Penetration Testing 

  1. Black-Box

    Mencari celah keamanan tanpa tahu mengenai sistem dan target yang akan diuji keamanannya. Secara garis besar tidak mengetahui secara mendalam. 

    • Kelebihan: simulasi serangan dari sudut penyerang tidak memiliki pengetahuan mengenai lingkungan atau sistem yang diuji. Sehingga mencerminkan serangan yang dimungkinkan berasal dari luar, dan penetration testing berbasis black box menciptakan pengujian berdampak pada penimbulan sikap lebih berhati-hati dari pengguna. 
    • Kekurangan: perlu waktu lama dalam mengidentifikasi dan mengeksploitasi kelemahan karena memang informasi yang diketahui sebelumnya kurang.

  2. White-Box

    Mengetahui sistem yang akan diuji, dan kamu sebagai admin yang memiliki akses untuk melakukan penetration testing. 

    • Kelebihan: menambah wawasan perihal kerentanan dan konfigurasi sistem.
    • Kekurangan: tidak mempresentasikan perspektif serangan dari luar, dan mengakibatkan menimbulkan beberapa kelemahan yang terlewat. 

  3. Gray-Box

    Mengetahui sedikit mengenai informasi yang akan diuji. 

    • Kelebihan: adanya keseimbangan antara realism serangan eksternal dan pengetahuan internal mengenai sistem.
    • Kekurangan: membutuhkan lebih banyak sumber daya dibandingkan kedua metode yang dibahas sebelumnya. 

Baca juga : 13 Jenis Malware Pengancam Keamanan Jaringan

Langkah-langkah Teknik Dasar

Informasi Tentang Langkah-Langkah Awal dalam Melakukan Penetration Testing, di antaranya:

  1. Melakukan penentuan tujuan pengujian dan kamu harus membatasi lingkungan apa saja yang akan dilakukan pengujian. 
  2. Mendapatkan persetujuan izin dari pemilik aplikasi atau sistem sebelum memulai aktivitas penetration testing.
  3. Mengidentifikasi potensi risiko keamanan yang diuji. Risiko yang didahulukan harus dimulai dari yang paling membutuhkan penetration testing.
  4. Penetapan tim pengujian yang memiliki keterampilan dibidang terkait.
  5. Adanya perencanaan secara rinci dan dokumentasi.
  6. Memahami lingkungan dengan pengetahua infrastruktur IT, arsitektur, dan konfigurasi sistem yang akan diuji.
  7. Membuat susunan kontrak atau perjanjian sebelum pengujian dilakukan secara resmi.
  8. Rencana darurat dipersiapkan.
  9. Koordinasi dengan TIM TI internal atau penyedia layanan keamanan agar bisa dipastikan aktivitas pengujian tidak dianggap sebagai serangan, dan pencegahan respons yang tidak diinginkan.
  10. Jadwal pengujian harus disesuaikan. Jangan sampai kamu bentrok dengan aktivitas lain, apalagi kegiatan tidak bisa digantikan. 

Pengenalan Terhadap Fase-Fase Penting 

  1. Pemetaan

    Pemetaan dilakukan untuk mendapatkan pemahaman mendalam mengenai target pengujian, baik dari segi sistem, jaringan atau aplikasi. Maka kegiatan yang bisa kamu lakukan bisa dengan pengumpulan informasi publik mengenai target.

    Selanjutnya mengidentifikasi subdomain, alamat ip dan struktur jaringan. Serta mengumpulkan informasi tentang teknologi yang digunakan.

  2. Analisis Kerentanan

    Mengidentifikasi dan mengevaluasi kelemahan keamanan pada sistem, jaringan, atau aplikasi. Maka kegiatan tersebut dilalui dengan menganalisis kerentanan melakukan pemindaian dalam mengidentifikasi layanan dan port yang aktif.

    Hal ini didukung dengan menggunakan alat otomatis maupun manual untuk mengevaluasi kelemahan yang dimungkinkan bisa menyinggung aplikasi, jaringan atau sistem. Lalu penilaian risiko dilakukan agar bisa menentukan kelemahan yang perlu diprioritaskan.

  3. Eksploitasi

    Eksploitasi ialah dengan memanfaatkan kelemahan yang telah diidentifikasi untuk bisa mendapatkan akses atau merusak sistem guna melakukan penetration testing.

    Kamu melakukannya dengan menerapkan eksploitasi dan memanfaatkannya sebagai metode serangan yang berhasil untuk didapatkan sebagai akses lebih tinggi. Selanjutnya menjadi simulasi serangan dan evaluasi dampaknya terhadap keamanan.

Baca juga : Manfaat Penting dari Proses Penetration Testing dalam Keamanan Sistem

Alat-alat Penting

  1. Nmap

    Network Mapper merupakan kepanjangan dari Nmap. Nmap menjadi alat penting untuk pemindaian port dan identifikasi layanan. Sebagai alat yang penting, Nmap memiliki keunggulan dari sisi cepat. Contoh penggunaan mendukung pemindaian topologi jaringan.

  2. Metasploit

    Metasploit ditujukan sebagai framework pengujian penetrasi yang menyediakan exploit dan payload. Adapun dari sisi keunggulan, Metasploit berbentuk modular, mendukung pengujian penetrasi berbasis kerangka kerja. Serta bentuk contoh penggunaan untuk mencari dan meluncurkan modul eksploit.

  3. Wireshark

    Wireshark sebagai analisis lalu lintas jaringan dan deteksi ancaman keamanan. Lalu keunggulan Wireshark bisa menganalisa paket jaringan secara mendalam.  Contoh penggunaan alat mencakup menganalisis paket yang ditangkap dari suatu antarmuka jaringan.

Pemahaman Tentang Kerentanan Umum

  1. SQL Injection

    Penetration testing dengan memanfaatkan celah keamanan dalam input yang akan diteruskan melalui database untuk menjalankan pernyataan SQL yang tidak sah. Maka contoh kasus ialah seorang penyerang menginjeksi perintah SQL melalui formulir login. Sehingga memungkinkan akses ke database pengguna dan informasi kredensial.

  2. Cross-Site Scripting (XSS)

    Cross-Site Scripting (XSS) dilakukan dengan penanaman skrip berbahaya dalam halaman Web yang kemudian dijalankan oleh pengguna ketika melihat halaman tersebut. Contoh kasus : adanya penyerangan melalui suntikan skrip di situs Web, dan selanjutnya dipakai pengguna untuk melihat komentar.

  3. Cross-Site Request Forgery

    Adanya serangan yang mengeksploitasi kepercayaan bahwa situs Web memilikinya dengan menyisipkan perintah palsu. Kemudian, dieksekusi oleh pengguna yang terotentikasi. Contoh kasus : pesan email dikirim penyerang dengan berisi tautan phishing.

Baca juga : Memahami Vulnerability Assessment Dan Penetration Testing: Langkah-Langkah dan Manfaatnya

Praktikum Virtual

Pengenalan Tentang Praktikum Virtual untuk Pemula dalam Penetration Testing 

Praktikum virtual dalam penetration testing adalah cara praktis untuk memahami dan juga mengasah keterampilan keamanan siber tanpa merusak sistem produksi secara langsung. Praktikum virtual dikenal berdasarkan:

  1. Pemahaman Lingkungan Virtual : kamu bisa mempelajari dasar-dasar teknologi virtual baik itu virtualBox dan VMware. Jadi langkah selanjutnya dengan membuat mesin virtual agar simulasi keamanan siber bisa dilakukan.
  2. Penyedia Platform CTF : kamu bisa bergabung dengan platform CTF online sebagai penyedia lingkungan untuk penetration testing.
  3. Platform Pelatihan Penetration Testing : platform khusus bisa kamu gunakan untuk wada penyedia tutorial dan latihan mengenai metasploit framework.
  4. Penetration Testing Labs : kamu bisa mendaftar pada layanan lab penetration testing yang tentu saja tersedia lingkungan praktikum yang terisolasi. 

Contoh Skenario dan Tugas Praktikum untuk Meningkatkan Keterampilan :

Eksploitasi SQL Injection pada situs Web sederhana. Maka tugas praktikum yang bisa lakukan ialah dengan melakukan beberapa hal. Seperti menemukan formulir pencarian pada situs Web yang tentu saja rentan terhadap SQL, setelah kamu menemukannya maka lakukan eksploitasi dengan memasukkan perintah SQL dimana memungkinkan akses tidak sah ke dalam database. 

Selanjutnya, kamu bisa mengidentifikasi kolok ataupun tabel ke dalam database dan ekstrak informasi sensitif. Kemudian, kegiatan tersebut kamu buat dalam bentuk laporan tentang temuan dan rekomendasikan cara memitigasi kerentananan SQL injection. 

Kesimpulan

Pembelajaran kontinu dalam penetration testing sangatlah penting. Kenapa ? Sebab pembelajaran kontinu adalah bentuk kamu melakukan hal dinamis dan berkembang dari keamanan siber.  Bentuk penting kontinu bisa dilihat dalam penetration testing dari keamanan siber yang terus berubah sehingga pengetahuan mengenai tren terbaru masih tetap kamu ketahui, dan hal menarik dengan keuntungan lainnya. 

Maka untuk itu kamu jangan sampai terhenti sebagai pemula. Namun teruslah kembangkan potensi dan asah keahliannya dalam keamanan informasi. Hal tersebut sangat bermanfaat, apalagi mengingat pesatnya pertumbuhan teknologi yang sama-sama menuntut untuk supaya pemakai tetap mempertahankan keamanan informasi dan data, sebagai harta berharga didunia digital. 

Jelajahi dunia keamanan digital melalui pelatihan Penetration Testing kami! Mulailah perjalanan Anda sebagai pemula, gali keahlian baru, dan kuasai seni melindungi sistem. Bergabunglah sekarang untuk menjadi ahli keamanan yang handal!

Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *

Permata Kuningan Building, 17th Floor, Epicentrum Area, HR Rasuna Said, Jl. Kuningan Mulia, RT.6/RW.1, Menteng Atas, Setiabudi, South Jakarta, Jakarta 12920

Instagram Facebook Linkedin

Layanan

  • Consulting & Research
  • Assessment & Audit
  • Professional Development & Talent Center
  • Sustainable Development
  • Digital Marketing & Commerce
  • Business Process Outsourcing
  • Corporate Innovation

Aplikasi

  • Harmonie
  • Sapbi
  • Safe Guard
  • Talentern
  • Documine
  • Cash Connect

INDUSTRI

  • FinTech
  • Banking
  • Telecommunication
  • Governance
  • Logistic

Ⓒ 2023 All rights reserved. Proxsis Biztech

Powered by :

Admin Biztech