Maaf nanya tentang Penetration Test

[roywae]

Salam para suhu DWH,
Maaf klo salah kamar, di forum ini boleh nanya ttg IT development ga ya?

Mungkin para suhu ada yg tahu atau pernah melakukan penetration test sistem (software berbasis web)?
Biasanya pengetesannya mencakup apa saja? serta tool yang digunakan untuk test nya?

Cerita sedikit,
Saya bekerja di sebuah perusahaan sebagai IT Developer (Programmer) dan mengembangkan Aplikasi (webbasis web/PHP) untuk mendukung operasional perusahaan.
Saya bekerja sendiri (belum ada tim) jadi merangkap sebagai Bisnis analis, sistem analis, ui/ux, programmer, infrastruktur jaringan, sampai setup server.
Kebetulan management berencana mau menyewa vendor untuk melakukan Pen-Test pada sistem yang saya bangun.
Vendor ini klo sya lihat portofolionya sudah melakukan PenTest di berbagai perusahaan2 besar (spt perusahaan perbankan).
Jadi saya menanyakan ke forum ini sekiranya klo ada suhu-suhu disini mengetahui tentang scope PenTest-nya, jadi saya biar bisa mempersiapkan diri.
(* biar klo ditemukan bug, juga ga keliatan bego2 amat/ ngga malu2in bgt)

Sebelumnya saya ucapkan terimakasih

Salam saya,
Roy

 

[reyokh]

Saya bekerja sendiri (belum ada tim) jadi merangkap sebagai Bisnis analis, sistem analis, ui/ux, programmer, infrastruktur jaringan, sampai setup server.

melihat job desk Kakak yang sudah mengerjakan semua bagian sendirian, ga perlu malu, Kakak ga bego2 amat, justru saya salut sama Kakak, bisa ngerjain semuanya sendiri, itu artinya Kakak jago banget, keren Kak!

 

[komputerserver]

Kalau untuk temukan bugs di web / aplikasi maka cocok di buat bug bounty nanti yang test para bug hunter
kalau mau test infra jaringan dan servernya bisa dicari kang ddos

kalau mau bisa coba posting nama web atau aplikasinya di banyak forum atau banyak group untuk minta di test
atau buat sayembara
semakin banyak yang test semakin baik, kalau cuma satu dua orang saja yang test maka kurang maksimal

 

[mybloodiscoffee]

Salam para suhu DWH,
Maaf klo salah kamar, di forum ini boleh nanya ttg IT development ga ya?

Mungkin para suhu ada yg tahu atau pernah melakukan penetration test sistem (software berbasis web)?
Biasanya pengetesannya mencakup apa saja? serta tool yang digunakan untuk test nya?

Cerita sedikit,
Saya bekerja di sebuah perusahaan sebagai IT Developer (Programmer) dan mengembangkan Aplikasi (webbasis web/PHP) untuk mendukung operasional perusahaan.
Saya bekerja sendiri (belum ada tim) jadi merangkap sebagai Bisnis analis, sistem analis, ui/ux, programmer, infrastruktur jaringan, sampai setup server.
Kebetulan management berencana mau menyewa vendor untuk melakukan Pen-Test pada sistem yang saya bangun.
Vendor ini klo sya lihat portofolionya sudah melakukan PenTest di berbagai perusahaan2 besar (spt perusahaan perbankan).
Jadi saya menanyakan ke forum ini sekiranya klo ada suhu-suhu disini mengetahui tentang scope PenTest-nya, jadi saya biar bisa mempersiapkan diri.
(* biar klo ditemukan bug, juga ga keliatan bego2 amat/ ngga malu2in bgt)

Sebelumnya saya ucapkan terimakasih

Salam saya,
Roy

Pertama saya salut ke anda yg mengerjakan banyak tugas sendiri itu ga mudah n sangat kompleks.

Untuk pentest, biasanya diserbu paling utama servernya dulu...di cek servernya di hardening apa ga dan celah2nya dmn port sampai server jenis apa dsb. Tentu akan ada serangan brutal spt ddos ibaratnya ini wajib utk mengetahui kekuatan servernya jg. Sebaiknya pakai jasa proteksi ddos lalu blokir bbrp negara yg rajin digunakan utk bots attack....Brazil China Philippines dll. Bisa jg pakai jasa 3rd party yg punya list malware spammer sampai mitigasi resiko scanning n penetrasi. Cloudflare aja buat saya tidak ckp.

Setelah itu Web app akan dicek source codenya cari celah utk di tempered. Setiap script kan ada versinya jg setiap versi pasti ada bug. Bahkan Web team viewer baru aja kena sasaran dng ubah noindex n nofollow hal sepele gini bisa diubah oleh oknum luar. Celah di script biasanya dicoba utk diinject dsb. Pentest bisa pakai OS Linux khusus ada utk cobain ke server n Web.

Gmn ya jelasinnya ini sdh bahasa yg sederhana jg.

 

[WildanIsMe]

wah keren sekali tuan, mampu mengerjakan banyak role sendiri.

 

[sony]

Luar biasa Tuan ini. Sukses terus untuk Tuan,
Bener kata tuan diatas, buat bug hunter menurut saya paling bagus cuman yah kekurangannya gak dapat sertifikat gitu.
Saya kemarin pake bug hunter untuk sistem pemerintahan

 

[XXIKU.COM]

Project yg kyk gmn om, berbasis web php-script, apa ada demo nya mengenai project yg dikerjakan sendiri ini bisa di share biar dpt ditest oleh member disini. misal dgn cara Ddos request atau backdoor options gitu. Trmasuk penetrasi test.

 

[IIXPLANET]

Salam para suhu DWH,
Maaf klo salah kamar, di forum ini boleh nanya ttg IT development ga ya?

Mungkin para suhu ada yg tahu atau pernah melakukan penetration test sistem (software berbasis web)?
Biasanya pengetesannya mencakup apa saja? serta tool yang digunakan untuk test nya?

Cerita sedikit,
Saya bekerja di sebuah perusahaan sebagai IT Developer (Programmer) dan mengembangkan Aplikasi (webbasis web/PHP) untuk mendukung operasional perusahaan.
Saya bekerja sendiri (belum ada tim) jadi merangkap sebagai Bisnis analis, sistem analis, ui/ux, programmer, infrastruktur jaringan, sampai setup server.
Kebetulan management berencana mau menyewa vendor untuk melakukan Pen-Test pada sistem yang saya bangun.
Vendor ini klo sya lihat portofolionya sudah melakukan PenTest di berbagai perusahaan2 besar (spt perusahaan perbankan).
Jadi saya menanyakan ke forum ini sekiranya klo ada suhu-suhu disini mengetahui tentang scope PenTest-nya, jadi saya biar bisa mempersiapkan diri.
(* biar klo ditemukan bug, juga ga keliatan bego2 amat/ ngga malu2in bgt)

Sebelumnya saya ucapkan terimakasih

Salam saya,
Roy

Coba contact professional security services kaya rack911.com mereka banyak melakukan pentest buat security system seperti bug2 dicPanel atau directadmin serta control panel lain , hasil audit nya cukup bagus dan banyak celah atau bug yg ga biasa dapat mereka temukan.

yang paling baik sih doing by learning , dari attempt lalu lakukan prevention
memang ga instant tapi dari situ kita jadi tahu darimana celah itu bs masuk.

 

[ultra7]

pertama, gak semua manajemen aware dan concern ttg information system security, jd smg hal ini bs disadari sbg hal yg patut disyukuri.
kedua, jgn malu keliatan bego, org cm keliatan aja, bkn bego beneran (sy yakin TS tidak lah ya )

biasanya pentester kasi result vulnerable nya apa aja, disitu nanti bisa dikroscek dg referensi2 common vulnerability and exposure yg tersebar di internet, klo metode nya pake tool pentest malah langsung ada list CVE nya

oh iya, tujuan pentest utk temukan celah / kerentanan, bukan bug, dlm konteks sistem informasi bug berbeda dg celah

 

[AsiaVM]

saya coba ikutan sharing pak,
tool yang umum digunakan untuk manual test adalah Burp Suite lalu untuk otomatis test bisa pakai acunetix

Yang di test terkait bug pada umumnya misal SQL Injection, bypass upload, RFI/LFI, Cookies stealing, validasi session dan seterusnya yang kebanyakan di layer aplikasi karena kelengahan si programmer. Jika di sisi server biasanya di cek mengenai optimasi web server dan database server agar resource yang digunakan sesuai dengan spek yang tersedia, termasuk konfigurasi firewall.