5 Kesalahan Umum dalam Penetrasi Testing Bagi Bug Hunter Pemula

5 Kesalahan Umum dalam Penetrasi Testing Bagi Bug Hunter Pemula

Sebagai seorang bug hunter dalam melakukan penetrasi testing adalah mengerti dan mengidentifikasi simulasi serangan yang ia gunakan. Bagi pemula yang ingin terjun ke dunia bug bounty di usahakan jangan langsung mengeksploitasi kerentanan tersebut karena tujuan dari penetrasi testing ini yakni mencari sebuah kerentanan yang ada pada web aplikasi maupun mobile app dan ikut serta menutup kerentanan tersebut.

Umumnya perilaku seorang bug hunter pemula yang melakukan ujicoba penetrasi testing menggunakan berbagai alat bantu open source dalam mencari sebuah kerentanan hingga membobol jaringan tersebut. Ini tidak salah, namun jika ingin benar-benar menjadi bug hunter seharusnya mempelajari dahulu basic serangan apa yang kita tentukan nantinya.

Pentingnya ilmu pengetahuan di bidang cybersecurity memang perlu digenggam erat dalam merencanakan dan mempratikkan teknik-teknik serangan serta attitude ethical hacker yang baik. Jika Anda yang belum memiliki pengalaman di bidang penetrasi testing umumnya tidak akan berhasil dalam mencari berbagai kerentanan yang beresiko.

Nah untuk yang ingin mempelajari secara luas mengenai penetrasi testing sebaiknya pahami dahulu teknik basicnya hingga kesalahan umum yang sering dijumpai bagi bug hunter pemula. Berikut kesalahan umum bagi seorang bug hunter dalam aksi penetrasi testingnya.

1. Tidak Mengerti Resiko Serangan

Gerbang awal dari kesalahan bug hunter pemula yaitu tidak mengertinya resiko dari serangan tersebut. Untuk mengetahui resiko serangan, sebaiknya banyak membaca referensi dari berbagai sumber. Penyerang akan lebih cenderung berfokus pada server yang rentan seperti remote code execution, sql injection ataupun local file inclusion.

Dalam melakukan penetrasi testing, Anda harus mempertimbangkan berbagai macam resiko yang nantinya akan terjadi jika suatu kerentanan ini jatuh kepada orang jahat yang ingin mengeksploitasinya. Resiko yang wajib diketahui dalam dampak kerentanan yang ditemukan yakni data pelanggan, kekayaan intelektual dan informasi penting lainnya.

Dalam etika penetrasi testing yang baik jangan sesekali mengganggu data / jaringan dari suatu layanan yang Anda uji cobakan dalam mencari kerentanan sebab itu melanggar hukum dan beberapa perusahaan biasanya akan melaporkan hal tersebut kepada pihak berwenang jika diyakini mengganggu sistem internal.

2. Teknik Serangan Kuno

Ketika Anda ingin melakukan penetrasi testing ke sebuah perusahaan yang sudah menggunakan berbagai macam layanan canggih ditambah lagi dengan adanya Web Application Firewall maka sangat sulit sekali rasanya jika menggunakan payload yang sudah tua. Karena itu sebelum melakukannya harus memahami dari berbagai sisi yakni lakukan research terlebih dahulu dan jika ditemukan kerentanan gunakan payload / teknik terbaru yang belum diketahui banyak orang.

3. Tidak Mempunyai Keahlian Menggunakan Tools

Banyak sekali project tools yang ditujukan untuk penetrasi testing dengan label open source. Namun, sayang sekali jika tidak mempunyai keahlian basic dalam penggunaan maupun maksud dan tujuan payload tools tersebut. Untuk hasil yang lebih sempurna untuk mengeksploitasi sebuah sistem kenali dahulu basic dari kerentanan yang ditemukan agar penggunaan perintah tools dapat dilancarkan dengan baik dan berhasil.

Sebenarnya beberapa alat penetrasi testing sebagian memiliki harga jual yang dibilang cukup tinggi seperti contoh yaitu BurpSuite. Tools yang satu ini untuk satu lisensi dihargai $399 USD dilengkapi dengan automatis search vulnerability. Namun, adanya pelaku cracker tools ini dijadikan bahan ilegal yang di dapat gratis dan jika tidak waspada maka bisa saja di dalamnya terdapat malware berbahaya.

4. Tidak Mencari Kerentanan Secara Luas

Mungkin bagi sebagian orang awam yang baru mengetahui hal ini akan memikirkan bagaimana ia bisa menembus keamanan web aplikasi atau mobile apps. Perlu diketahui dalam mencari sebuah kerentanan Anda tidak harus berfokus pada satu layanan yang dianggap itu ujung tombak tertinggi darinya. 

Selalu ada kemungkinan lainnya kerentanan ditemukan di pihak lain yang masih dalam satu server. Jangan terlalu berharap lebih jika research yang Anda lakukan tidak mendetail dan rinci dalam mencari kerentanan.

5. Laporan Penemuan Bug Sulit Dimengerti

Tantangan terbesar bagi seorang bug hunter pemula yaitu ada pada laporan penemuan kerentanan. Setelah diyakini penemuan kerentanan itu valid maka sebagai seorang bug hunter harus menyusun laporan yang mudah dimengerti, jelas dan rinci yakni menambahkannya dengan sebuah foto dan video implementasi penemuan tersebut.

Susunlah laporan dari awal bagaimana menemukan kerentanan, exploitasi hingga penambalan bagi kerentanan itu. Tak sedikit pula laporan yang salah atau membingungkan dapat mengurangi penilaian tingkat keparahan kerentanan atau biasa dikenal Common Vulnerability Scoring System (CVSS).

Anda mungkin menyukai postingan ini