Penetration testing membantu menemukan vulnerability sebelum penyerang menemukannya. Pelajari metodologi standar dan tools yang digunakan pentester profesional.
Apa Itu Penetration Testing?
Penetration testing (pentest) adalah simulasi serangan yang dilakukan secara terkontrol untuk mengevaluasi keamanan sistem, jaringan, atau aplikasi.
Jenis Pentest
- Black Box: Tester tidak memiliki informasi tentang target
- White Box: Tester memiliki akses penuh ke source code dan dokumentasi
- Gray Box: Tester memiliki informasi terbatas
Metodologi PTES (Penetration Testing Execution Standard)
- Pre-engagement: Scope, rules of engagement, timeline
- Intelligence Gathering: OSINT, DNS recon, network scanning
- Threat Modeling: Identifikasi asset dan threat
- Vulnerability Analysis: Scanning dan manual testing
- Exploitation: Membuktikan vulnerability dapat dieksploitasi
- Post-Exploitation: Pivot, privilege escalation, data exfiltration
- Reporting: Executive summary, technical findings, remediation
Essential Pentest Tools
- Recon: Nmap, Masscan, Amass, Subfinder, httpx
- Web: Burp Suite Pro, OWASP ZAP, SQLMap, Nuclei
- Exploitation: Metasploit, Cobalt Strike, Sliver
- Post-Exploitation: Mimikatz, BloodHound, Rubeus
- Reporting: Sysreptor, Ghostwriter, Pwndoc