Metode dan Teknik yang Digunakan Untuk Pengujian Keamanan

gwidev.my.id –

Pengujian keamanan dapat dilakukan dengan berbagai cara seperti,

oBlack Box Level

Tingkat Kotak Putih

Tingkat oDatabase

Level Kotak Hitam

oSession Hijacking

Session Hijacking biasa disebut sebagai “IP Spoofing” dimana sesi pengguna akan diserang di jaringan yang dilindungi.

oSesi Prediksi

Prediksi Sesi adalah metode untuk mendapatkan data atau ID sesi dari pengguna yang sah dan mendapatkan akses ke aplikasi. Dalam aplikasi web, ID sesi dapat diambil dari cookie atau URL.

Prediksi Sesi yang terjadi dapat diprediksi ketika situs web tidak merespons secara normal atau berhenti merespons karena alasan yang tidak diketahui.

oEmail Spoofing

Email Spoofing menduplikasi header email (“Dari” alamat) agar terlihat seperti berasal dari sumber sebenarnya dan jika email dibalas itu akan masuk ke kotak masuk spammer. Dengan memasukkan perintah di header, informasi pesan dapat diubah. Anda dapat mengirim email palsu dengan informasi yang tidak Anda tulis.

oContent Spoofing

Pemalsuan konten adalah teknik untuk mengembangkan situs web palsu dan membuat pengguna yakin bahwa informasi dan situs web itu asli. Ketika pengguna memasukkan Nomor Kartu Kredit, Kata Sandi, SSN dan detail penting lainnya, peretas bisa mendapatkan data dan menggunakan jika untuk tujuan penipuan.

oPhishing

Phishing mirip dengan Email Spoofing di mana peretas mengirimkan tampilan asli seperti surat yang mencoba mendapatkan informasi pribadi dan keuangan pengguna. Email tersebut tampaknya berasal dari situs web terkenal.

oPassword Cracking

Password Cracking digunakan untuk mengidentifikasi kata sandi yang tidak dikenal atau untuk mengidentifikasi kata sandi yang terlupa

Pembobolan kata sandi dapat dilakukan melalui dua cara,

1. Brute Force – Peretas mencoba dengan kombinasi karakter dalam satu panjang dan mencoba sampai diterima.

2. Kamus Kata Sandi – Peretas menggunakan kamus Kata Sandi yang tersedia tentang berbagai topik.

Level Kotak Putih

o Injeksi Kode Berbahaya

SQL Injection paling populer di Code Injection Attack, peretas melampirkan kode berbahaya ke dalam kode yang baik dengan memasukkan bidang dalam aplikasi. Motif di balik injeksi adalah untuk mencuri informasi aman yang dimaksudkan untuk digunakan oleh sekumpulan pengguna.

Selain SQL Injection, jenis injeksi kode berbahaya lainnya adalah XPath Injection, LDAP Injection, dan Command Execution Injection. Mirip dengan SQL Injection, XPath Injection berhubungan dengan dokumen XML.

oPenetration Testing

Penetration Testing digunakan untuk memeriksa keamanan komputer atau jaringan. Proses pengujian mengeksplorasi semua aspek keamanan sistem dan mencoba menembus sistem.

oInput Validasi

Validasi input digunakan untuk mempertahankan aplikasi dari peretas. Jika input sebagian besar tidak divalidasi dalam aplikasi web, hal itu dapat menyebabkan kerusakan sistem, manipulasi database, dan kerusakan.

oVariabel Manipulasi

Manipulasi variabel digunakan sebagai metode untuk menentukan atau mengedit variabel dalam program. Ini sebagian besar digunakan untuk mengubah data yang dikirim ke server web.

Tingkat Database

oSQL Injection

SQL Injection digunakan untuk meretas situs web dengan mengubah pernyataan SQL backend, menggunakan teknik ini peretas dapat mencuri data dari database dan juga menghapus dan memodifikasinya.

Source