Professional Documents
Culture Documents
https://www.gosafeonline.sg
Tahap berikutnya adalah analisis dan pembuatan laporan. Disini biasanya
dilaporkan tentang langkah kerja yang dilakukan, celah keamanan yang ditemukan
serta usulan perbaikan. Tahapan selanjutnya biasanya tindak lanjut, yang biasanya
harus dilakukan bersama-sama dengan admin untuk memperbaiki sistem. Semoga
bermanfaat!
Beberapa bahan bacaan tentang Penetration test:
http://www.sans.org/reading-room/whitepapers/auditing/conducting-penetration-test-
organization-67
http://www.isecom.org/mirror/OSSTMM.3.pdf
http://www.penetration-testing-group.co.uk/index.htm
Penetration Testing
Apa itu Penetration Testing
Penetration testing atau sering disingkat menjadi pentest merupakan istilah untuk pengujian
terhadap kehandalan suatu sistem dan mendokumentasikan tingkat keamanan aplikasi, sistem
komputer, atau jaringan. Jika ditemukan kelemahan suatu sistem maka dengan segera akan
dilakukan patch/penambalan sehingga keamanan sistem akan menjadi lebih kuat. Pentest
dilakukan sesuai konteks hukum yang legal, dengan kontrak antara auditor/pentester dengan
perusahaan yang ingin dilakukan pentest.
Sistem internal atau servis yang ada di jaringan (Active Directory, Exchange, dll)
Jaringan internal
Karyawan perusahaan
Kami membagi lagi ruang lingkup audit pentest sesuai tingkatan yang perusahaan anda
butuhkan :
2. Port scanning
4. Vulnerability scanning
5. Social engineering
2. Port scanning
4. Vulnerability scanning
5. Penetration Testing
Vulnerability exploitation
CVSS Scoring (kalkulasi tingkat resiko yang dihasilkan dari kelemahan yang
didapat)
6. Social engineering
2. Port scanning
4. Vulnerability scanning
5. Penetration Testing
Vulnerability exploitation
Brute forcing
Password cracking
Privilege escalation
Gaining root
CVSS Scoring
6. Social engineering
Note: Kami sangat fleksibel, kami dapat melakukan sesuai spesifikasi yang diperlukan
saja.
1. SQLinjection
2. XSS
3. File Inclusion
4. File upload
5. Directory Traversal
8. Apache exploit
12. Clickjacking
Jika anda memiliki pertanyaaan silahkan hubungi kami di hotline : +62 812 8000 1337 atau email
: info@ethic.ninja
Sebelum Membaca Artikel Berikut, Silakan Follow Twitter Saya Untuk Bertegur Sapa Disini:
Hal ini merupakan dasar bagi anda yang ingin menjadi Professional Hacker, dimana untuk
melakukan proses penetration testing anda harus memahami konsep-konsep yang baik untuk
memperoleh hasil yang baik. Tanpa konsep-pun sebenarnya bisa , saya sendiri kadang juga gak pake
konsep-konsepan. Kzkz.. Just LOL
Penetration Testing adalah metode untuk mengevaluasi keamanan sistem komputer atau jaringan
dengan mensimulasikan serangan dari sumber yang berbahaya. Sebagai contoh serangan yang
dilakukan oleh Black Hat Hacker, Cracker, Defacer, Dsb.
Proses ini melibatkan analisis aktif terhadap sistem untuk setiap kerentanan potensial yang
diakibatkan oleh sistem yang lemah atau konfigurasi sistem yang tidak benar atau kelemahan
operasional dalam proses teknis. Masalah keamanan yang ditemukan akan disampaikan kepada
pemilik sistem bersama dengan penilaian dampak dan mitigasi (solusi teknis) dari setiap kerentanan
yang ditemukan.
Tujuan Penetration Testing diantaranya adalah untuk menentukan dan mengetahui serangan-
serangan yang bisa terjadi terhadap kerentanan yang ada pada sistem, mengetahui dampak bisnis
yang diakibatkan dari hasil ekpoitasi yang dilakukan oleh penyerang.
Penetration Testing adalah salah satu komponen penting dari Security Audit .
N
STEP OBJECTIVE TECHNIQUE TOOLS
O
tcpdump, nat,
when enough data legion, tftp,
password
Gaining is gathered, pwdump, ttdb, bind,
4 eavesdropping,
Access attempt to access IIS .HTR/ISM.DLL,
share brute force
system/network dsniff, ettercap,
hydra, brutus-aet2
create user,
configuring trap cron, at, rc, netcat,
schedule batches,
Backdoorin doors to easily keystroke loggers,
8 infect startup files,
g regain privileged fpnwclnt.dll, tini,
trojanisation,
access adore, vnc, bo2k
remote control
Kemudian kita akan melanjutkan ke metode untuk Web Application Penetration Testing, metode
yang bisa di pakai yaitu:
1. Passive Penetration Testing: Dalam hal ini yang dilakukan adalah kita melakukan pemetaan
dan pengujian terhadap kontrol yang ada didalam webapplication, login dan konfigurasinya,
sehingga kita bisa memetakan target system.
2. Active Penetration Testing: Yaitu kita melakukan kegiatan aktif dalam pengujian terhadap
keamanan system dengan melakukan manipulasi imput, pengambilan akses, dan melakukan
pengujian terhadap vulnerability-vulnerability yang sudah ada.
3. Aggressive Penetration Testing: Melakukan eksploitasi terhadap vulnerability, melakukan
reverse enginering terhadap software dan system. menanamkan backdoor, mendownload code,
mencoba mengambil alih finansial dan informasi yang ada di server.
Adapula resource yang sangat menarik untuk anda pelajari, namanya Information Security
Assessment Framework. methodologynya sangat keren, berikut adalah design assessmentnya:
Adapun penjelasan detailnya mengenai design di atas bisa anda download dua file berikut