Zero-Day Vulnerability adalah jenis kerentanan keamanan yang belum diketahui oleh pihak pengembang atau pemilik perangkat atau aplikasi yang terpengaruh. Ini adalah kerentanan yang belum pernah ditemukan atau diumumkan kepada publik, dan oleh karena itu, belum ada pemecahan atau tindakan pencegahan yang tersedia. Zero-Day Vulnerability sangat berharga bagi penyerang, karena mereka dapat mengeksploitasinya tanpa resiko deteksi atau upaya pencegahan.
Dalam konteks penetration testing, pengujian penetrasi sering kali mencakup upaya untuk menemukan dan mengeksploitasi zero-day vulnerabilities. Ini penting untuk melihat sejauh mana organisasi rentan terhadap serangan yang dapat mengambil keuntungan dari kerentanan yang belum diketahui.
Berikut adalah beberapa hal yang perlu dipertimbangkan dalam menghadapi Zero-Day Vulnerability dalam penetration testing:
Metode Penetrasi: Pentester mungkin mencoba untuk menemukan zero-day vulnerabilities dengan menggunakan teknik-teknik yang sering digunakan oleh penyerang, seperti fuzzing, analisis kode, atau analisis kerentanan. Mereka juga bisa mencari tahu apakah ada kerentanan yang mirip dengan yang pernah ditemukan di masa lalu.
Keterbatasan: Zero-Day Vulnerability adalah kerentanan yang belum ditemukan sebelumnya, jadi tidak ada pembaruan atau tindakan pencegahan yang tersedia. Ini membuat tindakan mitigasi menjadi sulit, sehingga perusahaan perlu memiliki rencana darurat jika kerentanan ditemukan dan dieksploitasi.
Etika dan Izin: Pentester harus memiliki izin dan mendekati tes penetrasi dengan etika profesional. Mereka tidak boleh mencoba mengeksploitasi zero-day vulnerabilities tanpa izin eksplisit dari pemilik sistem yang diuji.
Kerjasama: Hasil pengujian penetrasi yang melibatkan zero-day vulnerabilities harus disampaikan kepada pemilik sistem secara hati-hati dan kooperatif, sehingga tindakan pencegahan yang sesuai dapat diambil.
Penting untuk dicatat bahwa menemukan dan mengeksploitasi zero-day vulnerabilities adalah langkah yang ekstrem, dan seringkali, organisasi lebih fokus pada memperbaiki kerentanan yang telah ditemukan dan dikenal daripada mencari zero-day vulnerabilities. Upaya ini dapat menjadi bagian dari upaya pengujian penetrasi lanjutan, dimana organisasi mencoba menilai sejauh mana mereka tahan terhadap serangan yang sangat canggih dan terfokus.