Tutorial Pengujian Penetrasi: Apa itu PenTest?

Daftar Isi:

Anonim

Pengujian Penetrasi

Penetration Testing atau Pen Testing adalah jenis Pengujian Keamanan yang digunakan untuk mengungkap kerentanan, ancaman, dan risiko yang dapat dieksploitasi oleh penyerang dalam aplikasi perangkat lunak, jaringan, atau aplikasi web. Tujuan pengujian penetrasi adalah untuk mengidentifikasi dan menguji semua kemungkinan kerentanan keamanan yang ada dalam aplikasi perangkat lunak. Pengujian penetrasi juga disebut Pen Test.

Kerentanan adalah risiko penyerang dapat mengganggu atau mendapatkan akses resmi ke sistem atau data apa pun yang terkandung di dalamnya. Kerentanan biasanya muncul secara tidak sengaja selama fase pengembangan dan implementasi perangkat lunak. Kerentanan umum termasuk kesalahan desain, kesalahan konfigurasi, bug perangkat lunak, dll. Analisis Penetrasi bergantung pada dua mekanisme yaitu Penilaian Kerentanan dan Pengujian Penetrasi (VAPT).

Mengapa Pengujian Penetrasi?

Penetrasi sangat penting dalam suatu perusahaan karena -

  • Sektor keuangan seperti Bank, Perbankan Investasi, Bursa Perdagangan Saham ingin datanya diamankan, dan pengujian penetrasi sangat penting untuk memastikan keamanan
  • Jika sistem perangkat lunak sudah diretas dan organisasi ingin menentukan apakah masih ada ancaman dalam sistem untuk menghindari peretasan di masa mendatang.
  • Pengujian Penetrasi Proaktif adalah perlindungan terbaik terhadap peretas

Jenis Pengujian Penetrasi:

Jenis uji penetrasi yang dipilih biasanya bergantung pada cakupan dan apakah organisasi ingin mensimulasikan serangan oleh seorang karyawan, Admin Jaringan (Sumber Internal) atau oleh Sumber Eksternal. Ada tiga jenis pengujian Penetrasi dan mereka adalah

  • Pengujian Kotak Hitam
  • Pengujian Penetrasi Kotak Putih
  • Pengujian Penetrasi Kotak Abu-abu

Dalam pengujian penetrasi kotak hitam, penguji tidak memiliki pengetahuan tentang sistem yang akan diuji. Dia bertanggung jawab untuk mengumpulkan informasi tentang jaringan atau sistem target.

Dalam pengujian penetrasi kotak putih, penguji biasanya diberikan informasi lengkap tentang jaringan atau sistem yang akan diuji termasuk skema alamat IP, kode sumber, detail OS, dll. Ini dapat dianggap sebagai simulasi serangan oleh siapa pun. Sumber internal (Karyawan Organisasi).

Dalam pengujian penetrasi kotak abu-abu, penguji diberikan pengetahuan parsial tentang sistem. Ini dapat dianggap sebagai serangan oleh peretas eksternal yang telah memperoleh akses tidak sah ke dokumen infrastruktur jaringan organisasi.

Bagaimana melakukan Pengujian Penetrasi

Berikut adalah kegiatan yang perlu dilakukan untuk melaksanakan Penetration Test -

Langkah 1) Tahap perencanaan

  1. Lingkup & Strategi penugasan ditentukan
  2. Kebijakan keamanan yang ada, standar digunakan untuk mendefinisikan ruang lingkup

Langkah 2) Fase penemuan

  1. Kumpulkan informasi sebanyak mungkin tentang sistem termasuk data dalam sistem, nama pengguna, dan bahkan kata sandi. Ini juga disebut sebagai SIDIK JARI
  2. Pindai dan Selidiki ke dalam port
  3. Periksa kerentanan sistem

Langkah 3) Fase Serangan

  1. Menemukan eksploitasi untuk berbagai kerentanan Anda memerlukan Hak istimewa keamanan yang diperlukan untuk mengeksploitasi sistem

Langkah 4) Tahap Pelaporan

  1. Laporan harus berisi temuan rinci
  2. Risiko kerentanan yang ditemukan dan Dampaknya terhadap bisnis
  3. Rekomendasi dan solusi, jika ada

Tugas utama dalam pengujian penetrasi adalah mengumpulkan informasi sistem. Ada dua cara untuk mengumpulkan informasi -

  • Model 'Satu ke satu' atau 'satu ke banyak' sehubungan dengan host: Seorang penguji melakukan teknik secara linier terhadap salah satu host target atau pengelompokan logis dari host target (misalnya subnet).
  • Model 'Banyak ke satu' atau 'Banyak ke Banyak': Penguji menggunakan beberapa host untuk menjalankan teknik pengumpulan informasi secara acak, terbatas, dan non-linier.

Contoh Alat Pengujian Penetrasi

Ada berbagai macam alat yang digunakan dalam pengujian penetrasi dan alat penting tersebut adalah:

  1. NMap- Alat ini digunakan untuk melakukan pemindaian port, identifikasi OS, Melacak rute dan untuk pemindaian Kerentanan.
  2. Nessus- Ini adalah alat kerentanan berbasis jaringan tradisional.
  3. Pass-The-Hash - Alat ini terutama digunakan untuk memecahkan kata sandi.

Peran dan Tanggung Jawab Penguji Penetrasi:

Tugas Penetration Testers adalah:

  • Penguji harus mengumpulkan informasi yang diperlukan dari Organisasi untuk mengaktifkan uji penetrasi
  • Temukan kekurangan yang memungkinkan peretas menyerang mesin target
  • Penguji Pena harus berpikir & bertindak seperti peretas sejati meskipun secara etis.
  • Pekerjaan yang dilakukan oleh penguji Penetration harus dapat direproduksi sehingga akan mudah bagi pengembang untuk memperbaikinya
  • Tanggal mulai dan tanggal akhir pelaksanaan tes harus ditentukan sebelumnya.
  • Seorang penguji harus bertanggung jawab atas segala kerugian dalam sistem atau informasi selama Pengujian Perangkat Lunak
  • Seorang penguji harus menjaga kerahasiaan data dan informasi

Penetrasi Manual vs. pengujian penetrasi otomatis:

Pengujian Penetrasi Manual Pengujian Penetrasi Otomatis
Pengujian Manual membutuhkan profesional ahli untuk menjalankan pengujian Alat uji otomatis memberikan laporan yang jelas dengan profesional yang kurang berpengalaman
Pengujian Manual membutuhkan Excel dan alat lain untuk melacaknya Pengujian Otomasi memiliki alat terpusat dan standar
Dalam Pengujian Manual, hasil sampel bervariasi dari satu pengujian ke pengujian lainnya Dalam kasus Tes Otomatis, hasil tidak berbeda dari satu tes ke tes lainnya
Membersihkan Memori harus diingat oleh pengguna Pengujian Otomatis akan memiliki pembersihan komprehensif.

Kekurangan Pengujian Penetrasi

Pengujian Penetrasi tidak dapat menemukan semua kerentanan dalam sistem. Ada batasan waktu, anggaran, ruang lingkup, keterampilan Penetration Testers

Berikut ini akan menjadi efek samping saat kita melakukan pengujian penetrasi:

  • Kehilangan dan Korupsi Data
  • Waktu Henti
  • Tingkatkan Biaya

Kesimpulan:

Penguji harus bertindak seperti peretas sejati dan menguji aplikasi atau sistem dan perlu memeriksa apakah kode ditulis dengan aman. Tes penetrasi akan efektif jika ada kebijakan keamanan yang diterapkan dengan baik. Kebijakan dan metodologi pengujian penetrasi harus menjadi tempat untuk membuat pengujian penetrasi lebih efektif. Ini adalah panduan pemula lengkap untuk Pengujian Penetrasi.

Lihat Proyek Pengujian Penetrasi Langsung kami