Apa itu Pengujian Penetrasi? Panduan Cepat untuk 2020

Keamanan komputer tidak pernah lebih penting. Dengan peretas yang mengancam rekening bank Anda, ransomware yang dapat mematikan PC Anda jika Anda tidak membayar harga yang diminta dan semua orang memata-matai orang lain, adalah adil untuk mengatakan bahwa gambar keamanan lebih kompleks daripada sebelumnya.


Untungnya, tidak semua orang dengan keterampilan keamanan siap membantu Anda. Beberapa peretas bekerja untuk kebaikan, mencari celah dengan tujuan memperbaikinya daripada mengeksploitasi mereka untuk keuntungan pribadi.

Di artikel ini, kami akan melihat peran mereka dan menjelaskan apa itu pengujian penetrasi.

Bur pertama: Black Hat vs White Hat

pengujian penetrasi

Orang baik umumnya dikenal sebagai penguji topi putih. Orang jahat adalah topi hitam dan topi abu-abu ada di antara keduanya. Jika Anda melihat salah satu dari mereka berfungsi, mereka sebagian besar akan melakukan hal yang sama: memeriksa situs web untuk mengetahui kerentanannya. Perbedaannya adalah apa yang terjadi ketika mereka menemukan masalah.

Topi putih melaporkan masalah ini kepada pemilik situs web atau aplikasi. Topi hitam mencari untuk meretas situs web atau menjual informasi tentang eksploitasi kepada orang lain. Topi abu-abu tidak cocok dengan kategori tersebut. Mereka mungkin meretas untuk bersenang-senang atau keingintahuan, berpotensi melanggar hukum, tetapi tidak ingin menghasilkan uang atau membahayakan.

Mengapa Masalah Keamanan Aplikasi Web

Siapa pun dengan kehadiran online dapat diretas. Akun Twitter tetangga Anda dan bank internasional keduanya merupakan target. Hadiah untuk membobol situs web bisa tidak terbatas.

Jika situs web disusupi, peretas dapat mengambil apa saja dari nama pengguna dan kata sandi hingga detail kartu kredit atau catatan medis. Sebagian besar dari kita mengenal seseorang yang surelnya diretas, sering mengirim pesan ke semua orang di daftar kontak mereka, sehingga kejahatan dunia maya berdampak pada kita semua.

Setelah peretas memiliki kendali atas sebuah situs web, mereka dapat menggunakannya untuk mencuri lebih banyak detail pelanggan, yang dapat digunakan untuk mengakses rekening bank atau mencuri bitcoin. Mereka juga dapat memperoleh informasi bisnis atau teknis yang rahasia.

Secara alami, perusahaan ingin melakukan apa pun yang mereka bisa untuk mencegah pelanggaran keamanan. Menyewa tes penetrasi, atau pentest, spesialis adalah cara yang bagus untuk membantu mereka mengatasi peretas.

Penilaian kerentanan oleh profesional keamanan mencakup mempekerjakan seseorang untuk mencoba masuk ke situs web. Mereka dapat menyelidiki lubang keamanan dengan cara yang sama seperti penjahat dan melaporkan masalah yang mereka temukan kepada pemilik situs web, yang kemudian dapat memperbaikinya.

Penilaian Kerentanan

Menilai Kerentanan

Kelemahan baru dalam perangkat lunak dan situs web terus ditemukan. Versi perangkat lunak terbaru biasanya menyertakan perbaikan untuk kerentanan yang diketahui, sehingga memperbarui ke mereka adalah masuk akal.

Itu bisa sulit pada aplikasi web dewasa. Versi perangkat lunak yang berbeda tidak selalu kompatibel satu sama lain, jadi selalu memperbarui dan memastikan semuanya berjalan tidak mudah.

Karena hal-hal ini selalu berubah, maka hampir tidak mungkin untuk menjamin suatu aplikasi aman. Mungkin tidak ada yang menyadari kerentanan dalam versi terbaru dari perangkat lunak server Anda, misalnya. Namun, kecil kemungkinannya bahwa tidak ada kekurangan yang akan ditemukan di masa depan.

Jika Anda khawatir situs web Anda diretas, Anda harus membaca artikel kami tentang keamanan situs web untuk beberapa petunjuk.

Black Box vs White Box

Ada berbagai cara untuk melakukan penilaian kerentanan di situs web atau aplikasi. Salah satu pendekatannya adalah menyelidiki kerentanan dengan cara yang sama seperti yang dilakukan peretas, tanpa pengetahuan atau bantuan orang dalam. Itu disebut pengujian kotak hitam.

Pengujian kotak putih, di sisi lain, berarti pengujian keamanan dengan akses ke informasi seperti kode sumber aplikasi yang sedang diselidiki atau perincian tentang perangkat lunak apa yang digunakan.

Pendekatan kotak hitam lebih seperti apa yang akan dilakukan penjahat. Mendapatkan informasi tentang sistem yang sedang diuji adalah tantangan utama bagi mereka yang menggunakan metode ini.

Strategi kotak putih membuatnya lebih mudah untuk menemukan kerentanan karena tester dapat menelusuri semuanya dan melihat bagaimana semuanya cocok. Jika mereka tahu perangkat lunak apa yang sedang berjalan, mereka dapat menargetkan serangan yang sesuai. Yang mengatakan, itu mungkin tidak menunjukkan kerentanan mana peretas nyata akan menemukan.

Alat Perdagangan Pentest

Linux adalah sistem operasi yang populer bagi mereka yang terlibat dalam pengujian keamanan. Jika Anda perlu melakukan penilaian kerentanan di situs web, Kali Linux adalah distribusi yang sangat baik karena dilengkapi dengan semua jenis perangkat lunak yang relevan, termasuk Wireshark dan Burp suite, serta banyak alat bermanfaat lainnya..

Menggunakan alat seperti Burp suite atau Charles untuk memantau lalu lintas web dapat memberi Anda gambaran terperinci tentang apa yang terjadi ketika Anda terhubung ke situs web. Mereka memantau semua koneksi yang dibuat komputer Anda dan memberi Anda detail yang Anda butuhkan tentang mereka. Mereka juga berguna untuk pengembangan web biasa dan debugging.

Anda dapat menggunakannya untuk mengubah permintaan yang dikirim, yang sangat bagus jika Anda ingin melihat bagaimana server merespons jenis lalu lintas non-standar yang mungkin berasal dari peretas.

charles

Ada juga alat untuk mengotomatiskan serangan kata sandi brute force, yang pada dasarnya mencoba sebanyak mungkin kombinasi. Ini menargetkan kata sandi yang pendek dan mudah. Menggunakan pengelola kata sandi dapat membantu Anda menghasilkan kata sandi yang lebih lama dan tidak rentan terhadap serangannya.

Bentuk kata sandi juga berisiko untuk injeksi SQL – kode menyelinap ke dalam data yang diteruskan ke server. Penguji keamanan dapat melihat tempat-tempat di mana hal itu dapat terjadi dan memperbarui kode untuk memastikan data yang masuk ditangani dengan aman.

Melihat bagaimana aplikasi menggunakan memori komputer juga dapat mengungkapkan kerentanan. Memasuki bagian dalam program yang dapat dieksekusi dapat dilakukan dengan debugger GNU, atau GDB. Jenis pengujian kerentanan ini melibatkan mencari exploit yang dapat memberikan akses hacker ke shell dan memungkinkan mereka untuk mengambil kendali server.

gdb

Sebagian besar browser memiliki konsol dev, yang juga berguna untuk memeriksa apa yang terjadi di situs web. Alat pengembang Chrome akan menampilkan elemen apa yang dimuat halaman dan mengungkapkan kesalahan. Selain menyebabkan masalah bagi pengguna, kesalahan mungkin membuat situs web rentan terhadap serangan.

Anda dapat menemukan konsol dev di Chrome dengan mengeklik tiga titik di kanan atas untuk membuka menu, lalu memilih “lebih banyak alat” > “alat pengembang.” Klik tab “konsol” untuk melihat kesalahan pada situs web yang Anda lihat. Anda mungkin terkejut mengetahui betapa banyak yang salah, bahkan di situs web profil tinggi.

konsol-krom

Beberapa perusahaan dapat menggunakan jaringan pribadi virtual untuk membantu melindungi diri mereka dari bahaya. Seorang penyerang dapat mengidentifikasi bahwa, bagaimanapun, dan koneksi yang kurang aman mungkin rentan terhadap eksploitasi. Itulah mengapa penting untuk berhati-hati ketika memilih layanan dan memilih salah satu penyedia VPN terbaik.

Menghasilkan Uang dalam Pengujian Keamanan

menghasilkan uang dengan pengujian penetrasi

Jika keamanan komputer menarik minat Anda, tidak pernah semudah ini untuk terlibat. Semakin banyak perusahaan yang menawarkan hadiah publik untuk mereka yang menemukan dan melaporkan masalah dengan situs web mereka. Hadiah bisa mencapai ratusan ribu dolar. Para pemburu hadiah potensial akan diperingatkan, meskipun, sebagian besar jauh lebih rendah dan Anda harus menginvestasikan waktu yang signifikan jika Anda ingin mendaratkan satu.

Yang mengatakan, kumpulkan beberapa hadiah kecil dan Anda mungkin bisa mendapatkan pekerjaan sebagai konsultan keamanan, atau penguji penetrasi, mengajari perusahaan cara melindungi diri dari pemburu bug yang kurang teliti di luar sana.

Pikiran terakhir

Dengan lanskap digital yang terus berubah, kebutuhan akan keamanan adalah yang terbaik yang pernah ada. Untungnya, kesadaran akan masalah seputar keamanan aplikasi web, dan keamanan secara umum, telah tumbuh juga.

Pengujian penetrasi adalah bagian besar dari keamanan. Ini adalah bidang yang menantang, tetapi menarik untuk dipelajari. Jika Anda merasa artikel ini bermanfaat, atau memiliki pengalaman yang menakjubkan, beri tahu kami di komentar di bawah. Terima kasih sudah membaca.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map