Pentest atau Penetration Testing adalah suatu cara atau metodologi untuk mencari tahu atau mendeteksi kelemahan suatu system yang berkaitan dengan security baik aplikasi maupun system dan mengindentifikasi suatu resiko yang mungkin akan terjadi atau mendeteksi kelemahan suatu sistem (memperkecil kelemahan dari suatus system).Penetration Testing biasanya di lakukan oleh suatu badan atau perorangan untuk mendeteksi kelemahan system (aplikasi, jaringan, server, peripheral) yang dimiliki oleh Suatu Institusi untuk menemukan, memperbaiki atau memberikan advice agar system tersebut relatif aman. (yang tentu saja tidak ada system yang sepenuhnya aman, tidak ada yang bisa menggaranti bahwa sistem yang mereka bangun aman 100%).
Apa Latar Belakang di Perlukannya Pentest Atau Penetration Testing?
Baiklah, Anda telah memiliki tenaga atau karyawan yang handal di bidang IT (ahli dalam pemograman, Jaringan, dan peralatan lainnya.) Perusahaan anda memiliki beberapa cabang di seluruh Indonesia dan semuanya terkoneksi dengan jaringan Piber Optik. Segala sesuatunya terkoneksi dengan server Pusat sehingga data yang di kelola selalu Up to Date, (hmmm, keren... type perusahaan jaman sekarang). Yang menjadi pertanyaan adalah:
- Apakah ada jaminan bahwa karyawan anda tidak menyalahgunakan wewenang yang dimiliki (serangan dari dalam)
- Apakah System Anda sepenuhnya aman dari serangan tangan-tangan jahil? (hacker, Cracker, Phreaker, Defacer)
- Bagaimana Jika pesaing anda mencoba masuk ke system anda untuk mengetahui semua isi perut perusahaan anda? hhmmm, bahaya bukan?
Sebagai salah satu Illustrasi
Anda sudah memiliki, misalnya: Toko Buku online, anda telah memiliki ribuan judul atau item buku, semuanya sudah anda setting dengan sangat baik, proses toko online sudah benar, pelanggan anda hanya perlu menggunakan verifikasi pembayaran, petugas toko anda hanya mendapatkan laporan bahwa produk A ini sudah terjual dan tinggal bungkus ke alamat pembeli. Pertanyaan: Bagaimana jika ada yang merubah harga produk anda dari harga sebenarnya?
Anda sudah meng hire Jasa SEO atau tenaga internet marketing untuk meningkatkan penjualan anda, sehingga toko anda telah mengalami perkembangan yang sangat pesat, apakah anda yakin bahwa pesaing anda merasa nyaman akan hal itu? (maaf, penulis bukan si uzon, tapi hal ini sudah sering terjadi, bahkan percurian traffic bukan hal baru pada dunia internet).
Contoh diatas adalah sebagian kecil yang mungkin akan terjadi pada system atau aplikasi anda, sehingga anda membutuhkan Jasa Penetration Testing.
Istilah-istilah dalam penetration testing :
- Black Box Testing dalah penetration testing dilakukan tanpa mengetahui informasi-informasi sebelumnya yang berkaitan dengan sistem / jaringan seperti, sistem operasi yang digunakan oleh target, topologi jaringannya seperti apa, open port dan service apa saja yang sedang running.
- White Box Testing adalah penetration testing di lakukan terhadap sistem / jaringan dengan tipe white box, biasanya informasi-informasi mengenai sistem / jaringan sudah di ketahui. Tetapi hal tersebut tidak serta-merta memberikan kemudahan dalam melakukan penetrasi, hal tersebut tergantung dari tester yang melakukan pengujian menilai sejauh mana kelemahan-kelemahan yang terdapat di dalam sistem / jaringan.
Untuk Penetration testing pada aplikasi “Web Application Penetration Testing“, metode yang biasa di pakai yaitu:
- Passive Penetration Testing: Dalam hal ini yang dilakukan adalah kita melakukan pemetaan dan pengujian terhadap kontrol yang ada didalam web application, login dan konfigurasinya, sehingga kita bisa memetakan target system.
- Active Penetration Testing: Yaitu kita melakukan kegiatan aktif dalam pengujian terhadap keamanan system dengan melakukan manipulasi input, pengambilan akses, dan melakukan pengujian terhadap vulnerability-vulnerability yang sudah ada.
- Aggressive Penetration Testing: Melakukan eksploitasi terhadap vulnerability, melakukan reverse enginering terhadap software dan system. menanamkan backdoor, mendownload code, mencoba mengambil alih finansial dan informasi yang ada di server.