Maaf nanya tentang Penetration Test

[Mahmud]

Jangan salah menangkap ya mas tapi menurut saya kurang tepat bagi management mas untuk melakukan pentest pada sistem yang dibangun oleh 1 orang saja.

Agar pentest maksimal harus hardening terlebih dahulu dan itu membutuhkan keahlian khusus untuk setiap bagiannya.

Belum lagi berbicara network dan server, untuk development sendiri hardeningnya saja sudah beragam dari pemrograman yang digunakan.

Sekiranya juga pentest dilakukan dan hasilnya diberitahukan, apakah management mas bisa menerapkan improvementnya? Sebab saat ini saja semua pekerjaan dilakukan oleh mas sendiri.

 

[wpanel]

mending niatnya di simpan dulu, kalau di kantor cuman kamu sendiri, mending tambah orang dulu buat bantuin.
nanti pas liat penawaran buat pentest pasti kaget. yang saya pernah pakai tagihannya 10x dari gaji mas sekarang.

 

[binsarsempak]

kalau korporatnya memang mewajibkan bisa di buat rapat untuk pentestnya karena dari sisi biaya lumayan besar, kalau memang tidak butuh2 banget bisa hire temena2 tuan buat test

 

[ersh]

mesti siap berargumen kenapa begini begitu. kadang ada yg terlalu lebay nerapin standar, tp si pentesternya sendiri jg gk paham knp itu mesti diimplemen. misal: bikin session. ada yg ngotot pakai SHA256. kamu sbg developer bisa kok tolak dgn argumen: ini session gue binding IP adress. jadi buat apa gue pakai hashing jelimet yg makai CPU resource tinggi. gitulah kira2.
inget aja mantra ini: makin secure, makin gak nyaman utk dipakai user.

 

[rootwritter]

setau saya sih kalau masalah pentest
nantinya cuman dikasih report di url ini ada indikasi ngga

sama pentest itu ada berbagai macam
misal blackbox greybox sama whitebox masing masing punya skema yang akan dijalanin

 

[thebudiman]

Salam para suhu DWH,
Maaf klo salah kamar, di forum ini boleh nanya ttg IT development ga ya?

Mungkin para suhu ada yg tahu atau pernah melakukan penetration test sistem (software berbasis web)?
Biasanya pengetesannya mencakup apa saja? serta tool yang digunakan untuk test nya?

Cerita sedikit,
Saya bekerja di sebuah perusahaan sebagai IT Developer (Programmer) dan mengembangkan Aplikasi (webbasis web/PHP) untuk mendukung operasional perusahaan.
Saya bekerja sendiri (belum ada tim) jadi merangkap sebagai Bisnis analis, sistem analis, ui/ux, programmer, infrastruktur jaringan, sampai setup server.
Kebetulan management berencana mau menyewa vendor untuk melakukan Pen-Test pada sistem yang saya bangun.
Vendor ini klo sya lihat portofolionya sudah melakukan PenTest di berbagai perusahaan2 besar (spt perusahaan perbankan).
Jadi saya menanyakan ke forum ini sekiranya klo ada suhu-suhu disini mengetahui tentang scope PenTest-nya, jadi saya biar bisa mempersiapkan diri.
(* biar klo ditemukan bug, juga ga keliatan bego2 amat/ ngga malu2in bgt)

Sebelumnya saya ucapkan terimakasih

Salam saya,
Roy

Salam kenal pak,

kebetulan minggu lalu salah partner kami menawarkan layanan penTest ini. Kita disini semua saling memberikan informasi dan sharing pengalaman, tapi salut ya pak Roy handle semuanya... memang banyak yang menggunakan jasa pentest dan mayoritas memang perusahaan besar dan per bank an.

salam kenal ya

Arief budiman

 

[pereceh]

P ... jngan malu _ kerja double double gitu yg kliatan di mata hari - hari kode ya wajar aja klo ada bug (skalipun ksalahan kecil smacam form upload yg ga di validasi dngan benar) ..

 

[faleddo]

Kalo saya pake Burp Suite. Pernah nyoba Acunetix enak banget tapi harga lisensinya ngeri.