Mohon tunggu...
Christian Evan Chandra
Christian Evan Chandra Mohon Tunggu... Penulis - Narablog

Memiliki kegemaran seputar dunia kuliner, pariwisata, teknologi, motorsport, dan kepenulisan. Saat ini menulis di Kompasiana, Mojok, dan officialcevanideas.wordpress.com. IG: @cevan_321 / Twitter: @official_cevan

Selanjutnya

Tutup

New World Pilihan

Uji Keamanan Situs Web Secara Rutin dengan Pentest dari Widya Security, Awas Kebobolan!

3 Maret 2024   19:22 Diperbarui: 3 Maret 2024   19:28 331
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
Pemilihan penguji bersertifikasi nasional, regional, dan internasional penting untuk memastikan standar dan regulasi terpenuhi. Sumber: Widya Security

Kontrol internal tidak sepenuhnya dapat diandalkan. Menunggu pengaduan pengguna yang dirugikan juga sama sekali merupakan cara yang salah, apalagi Undang-Undang Perlindungan Data Pribadi secara tegas dapat memberikan sanksi baik kepada lembaga maupun individu pengurus yang lalai menjaga keamanan data pribadi yang dikelolanya. Seringkali data yang bocor tidak langsung disadari oleh pemilik data tersebut, mengingat datanya bisa jadi terlebih dulu dijual oleh peretasnya dan baru disalahgunakan oleh pembeli data tersebut.

Penjualan data ini belum tentu disadari dan diketahui serta bisa memakan waktu yang cukup panjang. Misalnya, pencurian data di situs Yahoo dengan memalsukan web cookies sepanjang tahun 2013 dan 2014 baru diketahui secara luas pada tahun 2016 dan 2017. Dampaknya luas, mulai dari menurunkan kepercayaan pengguna yang beralih ke layanan lain, menurunkan harga jualnya ketika diakuisisi Verizon, sampai mendapatkan denda dari regulator.

Pengujian keamanan situs atau aplikasi internet membutuhkan kemampuan pihak eksternal terkait keamanan data yang dapat melakukan simulasi peretasan. Bagaimana mungkin menjaga situs tetap aman dengan menyuruh secara sengaja pihak lain meretasnya? Jangan salah, raksasa teknologi sekelas Google pun melakukannya bahkan dengan memberikan tantangan berhadiah besar bagi mereka yang berhasil menemukan celah keamanan di produk mereka. Meskipun demikian, kita tetap perlu berhati-hati dengan memastikan pihak penguji ini adalah "peretas etis" atau "peretas topi putih" yang benar-benar hanya menguji celah keamanan dan tidak mengusik data dalam sistem yang diujinya.

Pengujian celah keamanan secara independen penting untuk mengetahui kerentanan situs di dunia nyata. Sumber: Pixabay (Pexels)
Pengujian celah keamanan secara independen penting untuk mengetahui kerentanan situs di dunia nyata. Sumber: Pixabay (Pexels)

Prosedur pengujiannya bernama penetration testing. Pelakunya ada pihak ketiga yang memiliki sedikit pengetahuan atau bahkan tidak sama sekali tentang sistem yang kita uji, dalam hal ini adalah situs web. Untuk memastikan kualitas yang mumpuni, kita bisa memilih pihak ketiga terpercaya yang berasal dari negara kita sendiri yaitu Widya Security. Uji keamanan yang dilakukan dipastikan sesuai dengan prosedur Panduan Metodologi Pengujian Keamanan Sumber Terbuka (OSSTMM) ISECOM dan Proyek Keamanan Aplikasi Web Terbuka (OWASP), serta untuk lembaga keuangan juga dipastikan menaati kewajiban pentest yang diatur pada PBI (Peraturan Bank Indonesia) No. 9/15/PBI/2017 dan SEOJK Nomor 21/SEOJK.03/2017.

Pemilihan penguji bersertifikasi nasional, regional, dan internasional penting untuk memastikan standar dan regulasi terpenuhi. Sumber: Widya Security
Pemilihan penguji bersertifikasi nasional, regional, dan internasional penting untuk memastikan standar dan regulasi terpenuhi. Sumber: Widya Security

Terkait website, secara garis besar Widya Security akan menguji seberapa rentan situs web kita menghadapi upaya mendapatkan data sensitif melalui database tempat kita menyimpan data, source code yang digunakan untuk mengoperasikan situs, serta jaringan back-end yang menghidupi situs tersebut untuk bisa diakses banyak orang. Termasuk persiapan dan penilaian awal terhadap spesifikasi sistem yang dites, proses pengerjaan memakan waktu sekitar tiga sampai sepuluh hari tergantung pada kompleksitas sistem dengan hasil akhir berupa analisis celah dan ancaman di berbagai level, potensi dampaknya pada reputasi bisnis, laporan hasil temuan dan kerentanan secara menyeluruh, sampai saran terkait keamanan website yang lebih baik.

Penguji Widya Matador bekerja dengan teknik yang mumpuni untuk analisis temuan secara menyeluruh. Sumber: Pixabay (B A)
Penguji Widya Matador bekerja dengan teknik yang mumpuni untuk analisis temuan secara menyeluruh. Sumber: Pixabay (B A)

Secara umum, penetration testing dimulai pada tahap perencanaan dan pengumpulan informasi. Baik dengan informasi awal dari pengelola situs maupun tidak, penguji akan mencari informasi dari sumber lain untuk membantu pengelola menemukan celah yang tidak mereka sadari. Sumber ini termasuk pada pencarian informasi publik di internet dan media sosial. Ruang lingkup, durasi, dan sumber daya yang terlibat dalam pengujian juga ditentukan di sini, termasuk apakah pengguna sistem akan diberitahu terlebih dahulu atas keberadaan pengujian.

Langkah berikutnya adalah penguji akan mencari dan menganalisis kelemahan yang dapat digunakan untuk mencuri data atau melakukan aktivitas tanpa teridentifikasi. Serangan yang umumnya diantisipasi dapat berupa injeksi SQL, cross site scripting, DDoS attack, dan serangan mencoba-coba alias bruteforce. Penguji dapat memanfaatkan alat uji seperti web application scanners atau proxy tools dan mengombinasikannya dengan teknik-teknik manual. Dengan staf ahli berpengalaman lebih dari sepuluh tahun dan juga bersertifikat, termasuk di antaranya membantu klien besar seperti Astrapay dan CIMB Niaga Auto Finance, Widya Security memiliki serangkaian prosedur uji mumpuni berstandar ISO 27001 untuk memastikan penemuan celah keamanan secara menyeluruh baik yang terbuka jelas maupun sulit ditembus, juga termasuk oleh aplikasi yang digunakan khususnya yang bersifat open source.

Kepercayaan klien dari berbagai kalangan terhadap Widya Security. Sumber: Widya Security
Kepercayaan klien dari berbagai kalangan terhadap Widya Security. Sumber: Widya Security

HALAMAN :
  1. 1
  2. 2
  3. 3
Mohon tunggu...

Lihat Konten New World Selengkapnya
Lihat New World Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun