Dalam uji kemampuan yang dimiliki dari sistem rancangan sebuah teknologi, sebagian besar mereka menerapkan konsep yang mengandalkan kemampuan atau pengujian penetrasi untuk mendapatkan hasil dengan ketahanaan yang lebih ideal. Pengujian ini dimaksudkan agar alat yang ciptakan dapat digunakan dengan mudah oleh setiap penggunanya.
Namun disamping itu ada beberapa jenis dan metode yang harus diperhatikan oleh setiap perusahaan ataupun pihak yang menganalisis mengenai kerentanan baik pada salah satu we dan nilai atau ketahanan dari suatu barang ciptaannya. Berikut beberapa jenis dan metode yang dapat Anda terapkan dalam kehidupan atau kinerja Anda saat ini.
Pengertian Pengujian Penetrasi
Pengujian penetrasi adalah cara untuk "menguji" keamanan infrastruktur TI baik dalam proses pembuatan maupun barang jadi tergantung pada kondisi tertentu. Teknik penetrasi digunakan untuk mengevaluasi keselamatan dan keamanan jaringan secara terkendali dan sudah dapat dijamin kemampuannya. Sistem operasi, layanan, aplikasi, dan bahkan tolak ukur perilaku pengguna ini di akhir dinilai untuk memvalidasi mekanisme pertahanan yang ada dan kemanjuran kebijakan keamanan pengguna.
Jenis-jenis Pengujian Penetrasi
Pengujian penetrasi rekayasa sosial terdiri dari teknik yang digunakan oleh profesionalitas peretas etis untuk mengelabui staf pelanggan agar mereka dapat mengungkapkan informasi sensitif atau melakukan tindakan untuk menciptakan celah keamanan bagi peretas untuk lolos ke dalam sistem data si korban. Ini dapat dilakukan sebagai pemeriksaan keamanan yang mandiri, tetapi biasanya berfungsi sebagai tambahan untuk jenis pengujian penetrasi yang lebih konvensional.
- Teknik pengujian penetrasi rekayasa sosial:
Pengujian penetrasi rekayasa sosial dapat dilakukan dalam dua mode, yaitu off-site dan on-site.
2. Web application tests
Pengujian Web secara sederhana memeriksa aplikasi web Anda secara eksklusif diadopsi untuk menguji aplikasi di-host web dimana antarmuka aplikasi dan fungsi lainnya diuji sebelum dibuat langsung atau sebelum kode dipindahkan ke lingkungan produksi.
- TeknikPengujian Aplikasi Web :
- PengujianFungsionalitas
- Pengujian kegunaan
- Pengujian antarmuka
- Kompatibilitas Pengujian
- Pengujian kinerja
- Pengujian keamanan
3. Physical Penetration Tests
Physical penetration tests adalah proses di mana tester mengidentifikasi dan mengeksploitasi kerentanan dalam hambatan dan kontrol fisik organisasi. Pada dasarnya, ini adalah cara bagi organisasi untuk mendapatkan wawasan tentang protokol keamanan fisik mereka dan cara memperbaikinya.
- Teknik Physical Penetration Testing :M
- Memetakan Pintu Masuk Dan Perimeter (fase pengintaian, untuk mengidentifikasi titik masuk tanpa jaminan).
- Lock Picking (untuk menghilangkan risiko pengambilan kunci, contoh: pemindaian kartu ID)
- Access Sensitive Information (untuk melihat informasi sensitif pada komputer)
- Test Server Rooms, Wires And Cables (untuk melindungi lapisan otentikasi termasuk pemindaian biometrik, lencana identifikasi, dan nomor PIN untuk mengakses)
- Test Fire And Cooling Systems (untuk memastikan keamanan fisik peralatan server dari serangan penolakan layanan terdistribusi (DDoS))
- Intercept EM Waves (untuk mengirimkan data organisasi dan sering rentan terhadap intersepsi)
- Dumpster Diving (untuk mencari informasi yang dapat digunakan lebih lanjut menembus pertahanan bisnis)
- Break RFID Tags’ Encryption (untuk mengamankan sumber daya portabel dan dapat dilacak melalui gelombang radio)
- Gain Physical Access (pemeriksaan mencegah akses lebih lanjut ke personel yang tidak berwenang untuk meminta kredensial siapa pun jika mereka tidak terlihat jelas)
- Test Network Jacks (memeriksa dan mengidentifikasi semua soket jaringan aktif di ruang rapat, area lobi, atau ruang rapat lokal apa pun dan memonitornya untuk mencegah berfungsinya perangkat jahat di lingkungan Anda)
- Check Meeting Rooms (Untuk mengurangi risiko pencurian sistem keamanan yang serius)
- Shoulder Surfing (untuk mengetahui nama pengguna, kata sandi, kekayaan intelektual, data sensitif, dan banyak lagi)
- Social Engineer Employees (praktik penggalian informasi sensitif melalui penggunaan praktik penipuan)
Pengujian jaringan adalah status penyelidikan yang dilakukan untuk memberikan para pengguna kepentingan informasi tentang kualitas produk atau layanan yang diuji. Pengujian jaringan juga dapat memberikan pandangan yang objektif dan independen terhadap jaringan untuk memungkinkan bisnis menghargai dan memahami risiko implementasi jaringan.
Ini adalah skenario uji pena/penetrasi paling umum, di mana pengguna mencoba mengidentifikasi celah di jaringan secara lokal atau jarak jauh.
Tes layanan jaringan dengan model terbaru dari berbagai pemasok membantu operator jaringan seluler untuk mengidentifikasi perangkat seluler dengan kompatibilitas terbaik dengan jaringan sendiri dan yang memberikan kepuasan pelanggan tertinggi.
- Berikut adalah beberapa contoh untuk pengujian layanan jaringan dengan LTS pada phone selular:
- USSD = Aplikasi yang umum adalah pengujian layanan prabayar, layanan panggilan balik, atau kontrol pesan suara.
- SMS = Untuk aplikasi tersebut, tes dapat dirancang secara bebas oleh tester dengan cara yang sama seperti tes berdasarkan layanan USSD.
- Interactive Voice Response (IVR) = Fitur ini dapat digunakan untuk menguji sistem pendukung, sistem pesan suara, sistem penjual tiket otomatis atau sistem lain berdasarkan IVR.
- App-based services = Sebagian besar transmisi data jaringan dilakukan melalui Aplikasi di smartphone dan tablet. Beberapa yang paling luas diintegrasikan ke dalam platform otomasi LTS.
5. Client-Side Test
Client-side test yaitu berkaitan dengan eksekusi kode pada klien, biasanya mengidentifikasi beberapa kode dalam browser web atau plugin browser. Eksekusi kode di sisi klien berbeda dari mengeksekusi di server dan mengembalikan konten berikutnya.
Menggunakan alat pengujian AB sisi klien, desain halaman kerangka baru yang dibuat di alat pengujian AB. Tim menggunakan alat pengujian terpisah untuk memilih navigasi situs web dan menghapusnya.
- Inilah yang terjadi ketika halaman pengujian dikirimkan dengan tujuan untuk melakukan pengujian sisi klien:
- Ketika client menavigasi ke halaman keranjang, pertama-tama halaman kereta asli dimuat di browser.
- Skrip perangkat lunak pengujian dimuat di halaman.
- Setelah halaman dimuat, skrip perangkat lunak pengujian menggerakkan perubahan yang dibuat ke halaman dan menampilkan halaman kepada clirment tanpa navigasi atas.
6. Wireless Security Test
Wireless security test adalah tugas yang yang sangat mudah ketimbang melakukan sesuatu pada jaringan kabel. Anda tidak dapat benar-benar menerapkan langkah-langkah keamanan fisik yang baik terhadap media nirkabel, jika Anda berada cukup dekat, Anda dapat "mendengar" (atau setidaknya adaptor nirkabel Anda dapat mendeteksi) semuanya, yang mengalir di udara.
Pengujian penetrasi jaringan nirkabel selalu dibagi menjadi 2 fase - Fase Pasif dan Fase Aktif . Setiap serangan yang mungkin (baik nirkabel atau lainnya) yang dapat Anda bayangkan, selalu mulai dengan semacam fase pasif.
Selama fase pasif, tester penetrasi (penyerang) mengumpulkan informasi tentang targetnya.
- Berbagai jenis bagian pasif serangan mungkin sebagai berikut:
- Melakukan pengintaian terhadap lingkungan.
- Membaca tentang langkah-langkah keamanan target di internet, dari berita.
- Berbicara dengan pengguna yang sah tentang kontrol keamanan.
- Sniffing of the traffic.
- Hal itu bisa berarti:
- Mengirim email phishing yang meminta kredensial langsung dari pengguna.
- Menyuntikkan bingkai nirkabel untuk merangsang beberapa tindakan tertentu (misalnya - bingkai de-otentikasi).
- Membuat AP palsu, yang akan digunakan oleh pengguna yang sah untuk terhubung ke jaringan nirkabel.
