MASIGNALPHAS2101
3071178398193978069

Cara Melakukan Penetrations Testing Pada Sebuah Website

Cara Melakukan Penetrations Testing Pada Sebuah Website
Add Comments
Tuesday, November 3, 2020

Melakukan Percobaan Untuk Menguji Sistem Kita Pertama Kali Bukanlah Hal Yang Mudah.

Halo semuanya, pada artikel ini saya ingin memberikan beberapa tehnik atau cara untuk melakukan penetrations testing.

Sebelumnya saya akan menjelaskan, apa itu penetrations testing.

Penetration testing atau sering disingkat menjadi pentest, merupakan istilah yang digunakan saat seseorang melakukan pengujian keamanan sebuah sistem, aplikasi, atau jaringan.

Kegiatan pengujian ini dilakukan untuk mengetahui apakah keamanan yang terdapat pada sistem atau aplikasi mempunyai celah sehingga dapat segera diperbaiki dengan melakukan patch atau penambalan.

Hal ini dilakukan agar keamanan yang terdapat pada suatu sistem atau aplikasi yang diuji menjadi semakin kuat. Selain melakukan pengujian, jasa pentest juga mendokumentasi tingkat keamanan dari sistem atau aplikasi yang akan diuji untuk selanjutnya dibuatkan laporan atau report kepada perusahaan / pelanggan.

Baik, jika sudah paham langsung saja kita siap-siap untuk mempelajarinya.
Untuk melakukan Penetration Testing sendiri, kamu harus mempersiapkan beberapa hal yang kamu perlukan, diantaranya adalah :

- kesabaran
- ketenangan
- kefokusan

Diatas adalah 3k inti yang kamu perlukan untuk melakukan pentest, jika kamu sudah dapat memenuhi 3k diatas, kamu dapat langsung mempelajari jenis-jenis kerentanan yang terdapat pada sebuah website, seperti RCE (Remote Code Execution), SQL INJECTION, XSS (Cross Site Scripting), dan masih banyak lainya.

Untuk mempelajari hal tersebut kamu bisa mencari tau di internet, atau kamu bisa baca di blog ini, karena diblog ini tersedia beberapa artikel yang membahas tentang jenis-jenis kerentanan yang terdapat pada sebuah website.

Langkah selanjutnya adalah memperhatikan jenis website yang ingin dicari celah atau bugnya, apakah websitenya statis atau dinamis.

Apa maksudnya Statis?
Website yang berjenis statis itu tidak terkoneksi pada database, sehingga dapat lebih sulit untuk melakukan Pentest pada website yang statis, seperti hanya berisikan tampilan profile, gallery, dan halaman yang sekiranya tidak terkoneksi database.

namun bukan berarti tidak mungkin untuk mencoba mengujinya.

Apa maksudnya Dinamis?
Website yang berjenis dinamis itu terkoneksi pada database, sehingga dapat lebih mudah untuk melakukan Pentest pada website yang dinamis.

Seperti website yang memiliki artikel berita, fitur login, dan masih banyak lainya.


Baik, jika kamu sudah mengetahui jenis situsnya, langkah selanjutnya adalah melihat sourcecodenya untuk mengetahui bahasa pemrograman yang dia pakai, dengan cara view-source: untuk android, dan tekan CTRL+U untuk laptop/komputer.

Nah disitu kamu sudah dapat mengetahui bahasa yang digunakan oleh si programmer tersebut dalam membuat website.

" Tapi bahasa php kan tidak bisa muncul saat kita view-source: ? "

Yaps, benar memang tidak muncul.
Tapi kamu bisa melihat exstensi akhir dari sebuah file diwebsite tersebut ketika kamu view-source.

Misal kamu melihat exstensi .php pada link yang terdapat di situs tersebut saat kamu view-source: nah itu saja sudah cukup jelas kalau dia menggunakan bahasa php pada program websitenya.

Jika kamu sudah mengetahuinya, kamu bisa langsung mempraktekanya, ada banyak jenis-jenis kerentanan yang berasal dari php, seperti LFI, DOFHOM, Dan Masih Banyak Lainya.

Langkah selanjutnya adalah memperhatikan setiap parameter pada website, nah 50% kerentanan berada pada parameter, ada banyak juga kerentanan yang berasal dari parameter, kamu bisa mempelajarinya diblog ini ataupun mencari referensi dari luar.

Dan jangan lupa, perhatikan setiap fitur yang ada di website tersebut, baik itu fitur login, search, comment, dan lainya.

Jika semuanya sudah terkumpul, silahkan kamu pelajar satu persatu jenis-jenis kerentanan yang ada pada website, pahamin dan pelajarin.

Jika sekiranya kamu sudah mulai paham beberapa jenis bug, kamu bisa langsung mempraktekanya untuk memulai melakukan penetrations testing.

Bagaimana cara memulainya?
• Cari targetnya
• Perhatikan jenis webnya statis/dinamis
• Jika Dinamis Bisa Dipastikan Banyak Fitur Yang Dapat Di Eksploitasi Jika Memang Rentan.
• Cobalah untuk menguji setiap fitur yang ada dengan kemampuan basic pentest yang kamu sudah pelajari jenis-jenis bugnya (Jangan Terfokus pada 1 fitur, kamu bisa juga melakukan testnya pada parameter)
• Jika kamu sudah menemukan kerentananya, kamu bisa langsung mencari halaman kontak di website tersebut, guna untuk menghubungi pihak tersebut terkait kerentanan di websitenya, untuk cara melaporkanya sendiri kamu juga membutuhkan etika yang baik dan benar, kamu bisa cek disini untuk belajar melaporkan kerentanan tersebut.
• Jika kamu sudah menjelaskan dengan detail kerentanan yang kamu temukan kepihak terkait, silahkan kamu tunggu respon dari mereka, jika tidak terdapat respon harap untuk sabar dan kamu bisa mencoba website lainya.
(Umumnya Dalam 1 minggu pasti dibalas, dan umumnya dia akan mengucapkan terimakasih atau memberikan reward sebagai tanda Terimakasih terhadap kamu yang telah melaporkan kerentanan tersebut.)

Namun perlu kamu ketahui, reward jangan kamu jadikan tujuan utama dalam melakukan pentest, jadilah orang yang bermanfaat tanpa harus meminta imbalan.

Itu adalah langkah-langkah inti yang mudah kamu pahami untuk melakukan penetrations testing, saya sangat menyarankan kamu untuk mempelajari terlebih dahulu jenis-jenis kerentanan atau bug, agar kamu dapat dengan mudah meksploitasi atau mempraktekanya.

Channel Belajar BugHunting :



Hai! Jika Kamu Belajar Hal Baru Hari Ini, Jangan Lupa Share Artikel Ini, Semoga Artikel Kali Ini Dapat Bermanfaat Untuk Kamu Dan Temanmu, Terimakasih Telah Membaca Dan Sampai Jumpa Di Artikel Selanjutnya..

Note: Only a member of this blog may post a comment.