Metode dan Teknik yang Digunakan Untuk Pengujian Keamanan
gwidev.my.id –
Pengujian keamanan dapat dilakukan dengan berbagai cara seperti,
oBlack Box Level
Tingkat Kotak Putih
Tingkat oDatabase
Level Kotak Hitam
oSession Hijacking
Session Hijacking biasa disebut sebagai “IP Spoofing” dimana sesi pengguna akan diserang di jaringan yang dilindungi.
oSesi Prediksi
Prediksi Sesi adalah metode untuk mendapatkan data atau ID sesi dari pengguna yang sah dan mendapatkan akses ke aplikasi. Dalam aplikasi web, ID sesi dapat diambil dari cookie atau URL.
Prediksi Sesi yang terjadi dapat diprediksi ketika situs web tidak merespons secara normal atau berhenti merespons karena alasan yang tidak diketahui.
oEmail Spoofing
Email Spoofing menduplikasi header email (“Dari” alamat) agar terlihat seperti berasal dari sumber sebenarnya dan jika email dibalas itu akan masuk ke kotak masuk spammer. Dengan memasukkan perintah di header, informasi pesan dapat diubah. Anda dapat mengirim email palsu dengan informasi yang tidak Anda tulis.
oContent Spoofing
Pemalsuan konten adalah teknik untuk mengembangkan situs web palsu dan membuat pengguna yakin bahwa informasi dan situs web itu asli. Ketika pengguna memasukkan Nomor Kartu Kredit, Kata Sandi, SSN dan detail penting lainnya, peretas bisa mendapatkan data dan menggunakan jika untuk tujuan penipuan.
oPhishing
Phishing mirip dengan Email Spoofing di mana peretas mengirimkan tampilan asli seperti surat yang mencoba mendapatkan informasi pribadi dan keuangan pengguna. Email tersebut tampaknya berasal dari situs web terkenal.
oPassword Cracking
Password Cracking digunakan untuk mengidentifikasi kata sandi yang tidak dikenal atau untuk mengidentifikasi kata sandi yang terlupa
Pembobolan kata sandi dapat dilakukan melalui dua cara,
1. Brute Force – Peretas mencoba dengan kombinasi karakter dalam satu panjang dan mencoba sampai diterima.
2. Kamus Kata Sandi – Peretas menggunakan kamus Kata Sandi yang tersedia tentang berbagai topik.
Level Kotak Putih
o Injeksi Kode Berbahaya
SQL Injection paling populer di Code Injection Attack, peretas melampirkan kode berbahaya ke dalam kode yang baik dengan memasukkan bidang dalam aplikasi. Motif di balik injeksi adalah untuk mencuri informasi aman yang dimaksudkan untuk digunakan oleh sekumpulan pengguna.
Selain SQL Injection, jenis injeksi kode berbahaya lainnya adalah XPath Injection, LDAP Injection, dan Command Execution Injection. Mirip dengan SQL Injection, XPath Injection berhubungan dengan dokumen XML.
oPenetration Testing
Penetration Testing digunakan untuk memeriksa keamanan komputer atau jaringan. Proses pengujian mengeksplorasi semua aspek keamanan sistem dan mencoba menembus sistem.
oInput Validasi
Validasi input digunakan untuk mempertahankan aplikasi dari peretas. Jika input sebagian besar tidak divalidasi dalam aplikasi web, hal itu dapat menyebabkan kerusakan sistem, manipulasi database, dan kerusakan.
oVariabel Manipulasi
Manipulasi variabel digunakan sebagai metode untuk menentukan atau mengedit variabel dalam program. Ini sebagian besar digunakan untuk mengubah data yang dikirim ke server web.
Tingkat Database
oSQL Injection
SQL Injection digunakan untuk meretas situs web dengan mengubah pernyataan SQL backend, menggunakan teknik ini peretas dapat mencuri data dari database dan juga menghapus dan memodifikasinya.
