Binus Hacker - Independent Hacking Community   Subscribe to BINUS HACKER Subscribe to BINUS HACKERSubscribe to BINUS HACKER FacebookSubscribe to BINUS HACKER Twitter

Hacking: Penetration Testing Concept

27 June 2011
Penulis:   · Kategori Artikel: Hacking

BINUS HACKER Binus Hacker Is Not Criminal Banner

BINUS HACKER

BINUS HACKER


Hallo BinusHacker Family, Salam Hangat Dari Saya :)

Sebelum Membaca Artikel Berikut, Silakan Follow Twitter Saya Untuk Bertegur Sapa Disini:
Follow Utuh Wibowo Twiiter

Oke, yuk kita lanjut.. Dan selamat menimba ilmu di http://www.binushacker.net

Hal ini merupakan dasar bagi anda yang ingin menjadi “Professional Hacker“, dimana untuk melakukan proses penetration testing anda harus memahami konsep-konsep yang baik untuk memperoleh hasil yang baik. Tanpa konsep-pun sebenarnya bisa , saya sendiri kadang juga gak pake konsep-konsepan. Kzkz.. Just LOL :)

Penetration Testing adalah metode untuk mengevaluasi keamanan sistem komputer atau jaringan dengan mensimulasikan serangan dari sumber yang berbahaya. Sebagai contoh serangan yang dilakukan oleh “Black Hat Hacker”, “Cracker”, “Defacer”, Dsb.

Proses ini melibatkan analisis aktif terhadap sistem untuk setiap kerentanan potensial yang diakibatkan oleh sistem yang lemah atau konfigurasi sistem yang tidak benar atau kelemahan operasional dalam proses teknis. Masalah keamanan yang ditemukan akan disampaikan kepada pemilik sistem bersama dengan penilaian dampak dan mitigasi (solusi teknis) dari setiap kerentanan yang ditemukan.

Tujuan Penetration Testing diantaranya adalah untuk menentukan dan mengetahui serangan-serangan yang bisa terjadi terhadap kerentanan yang ada pada sistem, mengetahui dampak bisnis yang diakibatkan dari hasil ekpoitasi yang dilakukan oleh penyerang.

Penetration Testing adalah salah satu komponen penting dari Security Audit .

Yuk kita lanjutkan, ke konsep-konsep Hacking For Penetration Testing

NOSTEPOBJECTIVETECHNIQUETOOLS
1Footprintingadress range, namespace, informationssearch engines, whois, DNS zone transferwhois, host, usenet, edgar db, dig, nslookup, samspade, google
2Scanning Fingerprintingidentification of services, entry pointsping sweep, TCP/UDP scan, OS detection, netBIOS, SNMP, VPNnmap, unicornscan, paketto, queso, siphon, scanline, cheops-ng, nbtscan, snmpwalk, ike-scan
3Enumerationidentifying valid user accounts, poorly protected shareslist user accounts, shares, banner grabbingdumpsec, sid enum, nat, legion, dcetest, rpcinfo, showmount, netcat, telnet
4Gaining Accesswhen enough data is gathered, attempt to access system/networkpassword eavesdropping, share brute forcetcpdump, nat, legion, tftp, pwdump, ttdb, bind, IIS .HTR/ISM.DLL, dsniff, ettercap, hydra, brutus-aet2
5Privilege Escalationif only user level acces with last step, gain complete control (root/admin)password cracking, known exploitsrainbow crack, ophcrack, john the ripper, ophcrack, l0phtcrack, local exploits
6Pilferinggain access to trusted systems/networkevaluate trusts, search for cleartext passwordsrhosts, hosts, lsa secrets, user data, config files, registry, scripts, services
7Covering Tracksownership system completed, hiding intrusionclear logs, hide toolslogcleaner-ng, winzapper, rootkits, file streaming
8Backdooringconfiguring trap doors to easily regain privileged accesscreate user, schedule batches, infect startup files, trojanisation, remote controlcron, at, rc, netcat, keystroke loggers, fpnwclnt.dll, tini, adore, vnc, bo2k
9Denial of Serviceif attempt of hack not successful, disable target (revenge)SYN flood, ICMP techniques, SRC/DST-SYN-requests, OOB, DDoSsmurf, bonk, jolt, land, nestea, newtear, syndrop, teardrop, winnuke, trinoo, tfn2k, slowloris, loic

 

Berikut ini penjelasan detail Alur Proses Penetration Testing:
Alur Proses Penetration Testing

Silakan Klik Untuk Memperbesar Gambar Penetration Testing Roadmap

 

Kemudian kita akan melanjutkan ke metode untuk “Web Application Penetration Testing“, metode yang bisa di pakai yaitu:

  1. Passive Penetration Testing: Dalam hal ini yang dilakukan adalah kita melakukan pemetaan dan pengujian terhadap kontrol yang ada didalam webapplication, login dan konfigurasinya, sehingga kita bisa memetakan target system.
  2. Active Penetration Testing: Yaitu kita melakukan kegiatan aktif dalam pengujian terhadap keamanan system dengan melakukan manipulasi imput, pengambilan akses, dan melakukan pengujian terhadap vulnerability-vulnerability yang sudah ada.
  3. Aggressive Penetration Testing:  Melakukan eksploitasi terhadap vulnerability, melakukan reverse enginering terhadap software dan system. menanamkan backdoor, mendownload code, mencoba mengambil alih finansial dan informasi yang ada di server.

Adapula resource yang sangat menarik untuk anda pelajari, namanya “Information Security Assessment Framework“. methodologynya sangat keren, berikut adalah design assessmentnya:

Adapun penjelasan detailnya mengenai design di atas bisa anda download dua file berikut

ISSAF DRAFT 0.2.1A

ISSAF DRAFT 0.2.1B

Semoga informasi tersebut bisa menambah pengalaman anda dan bisa di praktekkan di dunia kerja, terutama di dunia “IT Security” yang saat ini memang sangat populer didalam dunia teknologi di Indonesia.

Apabila anda sudah bisa menjadi “Professional Penetration Tester” dan sudah memahami konsep tersebut, anda bisa hubungi saya untuk melakukan beberapa pekerjaan berkaitan dengan “Project IT Security” bersama saya, email saya di utuh@binushacker.org :)

BINUS HACKER Binus Hacker Chat and Forum

Komentar

56 Komentar Untuk “Hacking: Penetration Testing Concept
Silahkan Berikan Tanggapan Anda Untuk Artikel Ini...

  1. Arief Kresna pada 17 June 2013 5:37 am

    Link download not found sob

  2. tarminag pada 7 November 2013 11:15 pm

    terima kasih infonya…bermanfaat. ada link lain bisa di akses ko
    silahkan di coba

    http://www.oissg.org/issaf02/issaf0.1-5.pdf‎

  3. nheyho casablanca pada 3 February 2014 7:11 am

    Daripada belajar hacking .
    Mendingan jadi progamer,dapet duit.ilmu juga dapet.lama jelamaan juga pasti tau kelemahan2 sistem komputer

  4. hanif pada 7 May 2014 8:39 pm

    http://www.oissg.org/issaf02/issaf0.1-5.pdf‎ sama juga nggak bisa diakses. ada lagi yg bisa memberikan link , penjelasan detailnya mengenai design diatas..?

  5. Penetration Testing | Computer Network pada 19 June 2014 2:33 am
  6. Vulnerability Assesment | Forensika Digital - Digital Forensics pada 31 January 2015 8:36 pm

Silahkan Berikan Tanggapan Anda...