Halo gais, kali ini saya mau membahas topik kesukaan saya sekaligus topik pada skripsi saya sejujurnya. Jadi di artikel kali ini saya mau membahas apa itu penetration testing, cara kerja, dan contoh aplikasinya.
Tapi sebelum itu, apakah kalian tahu apa itu Hacker?
Yak, Hacker adalah orang yang membobol data-data dengan cara menghack atau meretas suatu sistem. Namun jangan salah sangka ya gais, Hacker tidak mesti berhubungan dengan hal-hal jahat kok. Ada juga hacker yang meretas dengan tujuan untuk mengetahui celah keamanan sistem dan melaporkannya ke yang bersangkutan. Hacker ini bisa dikatakan hacker baik atau sebutan kerennya "White Hat Hacker" (Udah kayak hacker kominfo ya xixi). Nah karena hal inilah munculah istilah baru yaitu "penetration testing".
Pengertian penetration testing
Penetration testing, atau yang biasa disingkat "pen test" adalah proses pengujian keamanan suatu sistem komputer, jaringan, atau aplikasi untuk menemukan kerentanan yang bisa dieskploitasi oleh pihak yang tidak bertanggung jawab. Orang yang melakukan penetration testing disebut "pentester" yang bertujuan untuk mengidentifikasi dan memperbaiki celah keamanan atau melaporkannya.
Dari penjelasan diatas, bisa dikatakan bahwa White Hat Hacker dan Pentester memiliki suatu kesamaan ya gais, yaitu sama-sama meretas suatu sistem namun dengan tujuan baik.
Lalu bagaimana sih cara kerja penetration testing?
Cara Kerja Penetration Testing
Proses penetration testing biasa terdiri dari beberapa tahapan utama, yaitu:
1. Perencanaan dan persiapan
Tahapan ini meliputi menentukan apa yang akan diuji, misalnya website, jaringan, aplikasi, dan sebagainya. Tahapan ini juga meliputi pengumpulan informasi pada target seperti alamat IP, domain, dan teknologi yang digunakan
2. Pemindaian (Scanning)
Pemindaian keretanan dengan menggunakan alat pemindaian lalu menganalisis hasil pemindaian untuk menentukan potensi resiko dari setiap kerentanan yang ditemukan. Contoh tools scanning seperti Nmap dan BurpSuite.
3. Eksploitasi
Tahapan ini akan melakukan serangankaian serangan yang telah direncanakan untuk mengeksploitasi kerentanan yang ditemukan. Ini bisa melibatkan serangan SQL injection, cross-site scripting (XSS), brute force, dan sebagainya.
Jika eksploitasi berhasil, pentester akan bergerak lebih dalam kedalam sistem, seperti mendapatkan akses data sensitif.
4. Pelaporan
Tahapan pelaporan dan pembuatan dokumentasi mengetai semua kerentanan yang ditemukan beserta metode eksploitasi dan dampaknya serta rekomendasi untuk peningkatan keamanan sistem.
Semua hal tersebut dilakukan secara berurutan dan teratur serta sangat memerlukan waktu dan memerlukan usaha lebih. Tentu kita pasti bertanya apakah ada alat penetration testing untuk melakukan semua tahapan diatas? Jawabannya tentu ada.
Contoh aplikasi penetration testing
Jawabannya adalah OWASP ZAP.
Namun sebelum itu, sebenarnya ada banyak alat pengujian diluar sana ya. Alat penetration testing tersebut memiliki fungsi dan tujuannya masing masing seperti Wireshark yang dibuat khusus untuk monitor jaringan, Sqlmap untuk injeksi SQL, Metasploit, dll.
Namun alat yang dapat melakukan semua tahapan diatas mulai dari Perencanaan sampai Pelaporan adalah OWASP Zap. Owasp Zap atau Zap Proxy memungkinkan kalian untuk mengidentifikasi target (lebih tepatnya website) lalu mengeksplotasi dan melaporkannya. Oiya Owasp Zap gratis dan dikhususkan untuk eksploitasi website ya gais, kalian bisa gunakan alternatif lain seperti Burp Suite atau Nikto.
Atau jika anda tidak ingin ribet menggunakan aplikasi diatas, anda dapat mencoba aplikasi penetration testing saya di link github berikut https://github.com/Hildhan123/Penetration-Testing-Expert-System
Aplikasi saya menggunakan python dan API dari Owasp Zap. Lalu ada juga tampilan dahsboard atau pelaporan yang menampilkan jenis serangan, risk, score, dan sebagainya.
Penutupan
Sebenarnya ada banyak sekali hal yang saya ingin sampaikan seperti kenapa saya memilih Owasp Zap, perbandingannya dengan aplikasi lain, dll. Namun sepertinya akan panjang artikelnya. Jika kalian punya waktu kalian dapat membaca skripsi/jurnal saya disini yang membahas penetration testing secara lengkap.
Mungkin sekian dari artikel saya kali ini. Mohon maaf jika saya ada kesalah penyebutan kata atau misinformasi, namun pastinya artikel ini saya buat dari berbagai penelitian dan sejenisnya.
Sekian dari saya, Terimakasih semuanya.
