Anda pernah mendengar istilah Penetration Testing? Paling dikenal memang Web Penetration Testing (web pentest). Dalam dunia security khususnya sistem jaringan, penetration testing sangatlah penting dilakukan, karena berfungsi untuk menguji seberapa aman sistem yang telah digunakan maupun yang akan digunakan.
Web Penetration testing / web pentest merupakan istilah yang digunakan untuk kegiatan pengujian kehandalan situs website aplikasi dan melakukan dokumentasi tingkat keamanan situs website aplikasi. Biasanya website yang dilakukan pentest ini adalah web aplikasi yang membutuhkan verifikasi untuk login baik username maupun password.
Contoh sederhana dari web aplikasi yakni Paypal, atau Klik BCA. Sebelum launching atau dipublikasikan biasanya web aplikasi akan di pentest untuk menemukan kelemahan, celah hacking dan bug untuk membantu proses penyempurnaan web aplikasi. Web Pentest dilakukan sesuai dengan prosedur hukum yang legal, dengan adanya kontrak antara pentester ataupun perusahaan yang akan dilakukan web pentest.
Tujuan utama dari kegiatan web pentest yakni mengidentifikasi adanya celah keamanan pada web aplikasi. Jika celah sudah diidentifikasi biasanya akan dibuktikan menggunakan analisis resiko berupa report.
Apa Perbedaan Pentest dengan Sertifikat SSL?
Jika pentest berfungsi untuk mengidentifikasi celah hacking yang bertujuan untuk membantu proses penyempurnaan web aplikasi, lalu apakah masih penting menggunakan sertifikat SSL? Dan apa perbedaan pentest dengan sertifikat SSL?
Sudah pasti, masih sangat penting untuk menggunakan sertifikat SSL. Pentest untuk menguji web aplikasi sedangkan, sertifikat SSL berfungsi untuk melindungi secara long term. Inilah mengapa beberapa sertifikat SSL di bundling dengan apliikasi vulnerability scanning contohnya dari produk Digicert. Tujuannya yakni melindugi situs web aplikasi sekaligus scanning bug dan celah kerentanan keamanan.
Namun, bukan berarti pentest dengan vulnerability scanning merupakan kegiatan yang sama.
Penetration testing / Pentest
Pentest melakukan simulasi sebagai hacker yang akan mencoba untuk mengeksploitasi sistem web aplikasi. Tujuan utama yakni mencari kerentanan dan mencoba membuktikan bahwa web aplikasi apakah ada celah yang bisa di eksploitasi.
Biasanya menggunakan metode cracking sandi, buffer overflow, maupun injeksi SQL. Namun, metode ini tidak seberbahaya hacker, karena teknisnya pentester mengekstrak data dari jaringan dengan cara yang tidak merusak hanya menguji.