Description

Tujuan dan Manfaat:

• Mengidentifikasi Kerentanan: Mendeteksi kelemahan dan kerentanan dalam sistem yang bisa dimanfaatkan oleh penyerang.
• Memperbaiki Keamanan: Memberikan rekomendasi untuk memperbaiki kelemahan yang ditemukan.
• Kepatuhan dan Regulasi: Memenuhi persyaratan keamanan dan regulasi industri.
• Mengurangi Risiko: Mengurangi risiko dari serangan yang berpotensi merugikan perusahaan secara finansial dan reputasi.

Tahapan Penetration Testing:

• Perencanaan dan Persiapan: Menentukan tujuan, lingkup, dan metode pengujian.
• Pengumpulan Informasi: Mengumpulkan data tentang target melalui berbagai teknik.
• Scanning: Melakukan pemindaian untuk mengidentifikasi layanan dan port yang terbuka.
• Eksploitasi: Mencoba mengeksploitasi kerentanan yang ditemukan untuk mendapatkan akses.
• Pasca-Eksploitasi: Mengumpulkan informasi lebih lanjut dan mempertahankan akses jika diperlukan.
• Pelaporan: Menyusun laporan yang mendetail tentang temuan, termasuk rekomendasi perbaikan.

Etika dan Legalitas:

• Persetujuan: Selalu mendapatkan izin resmi dari pemilik sistem sebelum melakukan pengujian.
• Etika Profesional: Mengikuti kode etik yang berlaku untuk memastikan pengujian dilakukan dengan cara yang bertanggung jawab.

Penetration testing merupakan bagian penting dari strategi keamanan siber yang efektif, membantu organisasi melindungi aset dan informasi berharga dari ancaman siber yang semakin kompleks.

Berikut adalah langkah-langkah dalam melakukan penetration testing pada web aplikasi menggunakan Owasp-zap :

1. membuka aplikasi Owasp-Zap, kemudian KLIK Browser pada menu Owasp-Zap.

2. masukkan URL yang mau di gunakan untuk pentesting, disini saya menggunakan http://cloud.producode.id:9991

3. Klik fitur Automated Scan, kemudian masukkan URL yang akan kita pakai untuk pentesting.

4. Klik Attack dan tunggu scan sampai 100%

5. Setelah penscanan selesai kita mendapati beberapa peringatan, dari berbagai tingkatan dari yang low sampai medium.

6. Buka terminal, kemudian masuk ke mode root, setelah itu masukkan command seperti di gambar berikut. 

Pada command ini kita menangkap permintaan dari browser yang kita buka di Owasp ke server website yang kita tuju, disini kita akan merekam semua aktivitas di website tersebut.

7. login ke website tersebut, kemudian kita search di news flash disini saya mencari sql, yang bertujuan untuk menandai aktivitas kita pada saat menjelajahi website tersebut.

8. kemudian kita kembali ke terminal, terlihat perintah kita sudah menangkap yang ada pada website saat saya menjelajahi website tersebut.

9. copy pada bagian post yang sudah saya tandai tadi, contohnya seperti gambar berikut.

10. buka tab baru kemudian buat file.txt, disini saya menamakan header.txt

11. masukkan bagian yang kita copy tadi ke dalam “header.txt”. dan setelah itu di save dan close.

12.buat tab baru, masuk lagi ke mode root kemudian kita masukkan command, seperti gambar berikut.

Disini kita sudah masuk ke dalam database website, dan mendapati beberapa informasi yang bisa kita dapati.

13. masukkan perintah seperti gambar berikut, untuk melihat data yang ada pada fitur mybank.

Disini kita mendapati, isi dari mybank yaitu, tables akun dan tables news.

14. Kemudian untuk melihat isi table dari akun, dapat menggunakan command yang ada pada gambar berikut.

Disini kita telah dapat isi data dari table akun yang sudah terdaftar sebagai nasabah/pengguna dari website tersebut.

15. disini saya mecoba untuk login untuk mencoba apakah akun tersebut terdaftar atau tidak.

dan berhasil login dengan akun ibu Tuti Maruti Kelopo.

Secara keseluruhan, penetrasi testing adalah komponen penting dalam strategi keamanan siber yang proaktif, membantu organisasi untuk melindungi data dan infrastruktur mereka dari ancaman yang terus berkembang.