Kali ini kita akan bahas tentang jenis-jenis test/percobaan yang biasa dilakukan oleh seorang konsultan sekuriti terhadap suatu sistem. Jenis-jenis test tersebut antara lain :
1. Vulnerability Testing
Vulnerability testing dilakukan dengan cara melakukan scan terhadap sistem, dapat dilakukan secara manual maupun menggunakan tools dengan tujuan untuk mengetahui apakah sistem tersebut memiliki kelemahan, lalu apa solusi untuk menambal kelemahannya, apa konfigurasi sistem yang mereka pakai, kemudian dihasilkan sebuah laporan keamanan. Dalam testing ini tidak dilakukan tindakan eksploitasi hanya melaporkan temuan/hasil scan yang telah dilakukan. Report tersebut akan menjadi inputan bagi tim penetrasi.
2. Full Penetration Testing
Pada testing ini akan dilakukan ujicoba penyerangan dari berbagai vektor, seperti penyerangan aplikasi web, sql injection, firewall, wireless network, OS. Lihat postingan sebelumnya yang membahas vektor serangan.
3. Targeted Testing
Prosesnya sama seperti full penetration testing, hanya saja penyerangan difokuskan ke satu hal saja, Contoh :
- Database
- Website
- Aplikasi Klien Server
- Code
- Physical Security
- Social Engineering
- Network Scanning
- Malware
- Kebocoran informasi
- dll
Diklasifikasikan lagi berdasarkan tingkat pengetahuan :
1. Black Box Testing
Pada jenis testing ini kita tidak memiliki pengetahuan apapun tentang target alias zero knowledge, dilakukan dari luar sistem.
2. Grey Box Testing
Disini kita tahu sedikit tentang target, mungkin tahu organisasinya, tahu mengenai security administrator-nya, atau IPnya, tidak banyak pengetahuan yang didapat tapi setidaknya tahu harus mulai darimana. Bisa saja dilakukan dari dalam sistem.
3. White Box Testing
Berbeda dengan yang lainnya, white box testing dilakukan dengan pengetahuan yang penuh, kita tahu sistemnya menggunakan apa, firewall role nya seperti apa, scriptnya seperti apa, dll. Dalam testing ini berusaha untuk mencari exploit apa yang mungkin ditemukan dengan pengetahuan yang dimiliki.
Sekian dulu ya, nanti kita lanjut lagi ke Part 3 mengenai pertahanan. Stay tune!
Thanks.
0 comments:
We’re eager to see your comment. However, Please Keep in mind that all comments are moderated manually by our human reviewers according to our comment policy, and all the links are nofollow. Using Keywords in the name field area is forbidden. Let’s enjoy a personal and evocative conversation.