Titik-titik buta: Pengantar Pengujian Black Box testing dalam Pengujian Penetrasi

/ Penetration Testing / Oleh

Jika Anda ingin melakukan penetration testing yang lebih realistis, maka Anda dapat menggunakan metode black box testing. Dengan metode ini, Anda akan dapat mensimulasikan serangan menggunakan sudut pandang penyerang yang membuatnya lebih nyata.

Black Box Testing

Apa Itu Metode Pengujian Black Box?

Black box testing adalah metode untuk menguji sistem yang dilakukan tanpa memiliki pengetahuan sebelumnya tentang struktur internal sistem, data internal, kode yang digunakan, serta detail implementasinya. Satu-satunya informasi yang diberikan kepada penguji penetrasi adalah URL target dan terkadang akses yang mirip dengan akses yang diberikan kepada pengguna akhir.

Dengan demikian, pengujian ini dapat dilakukan oleh siapa saja yang bukan bagian dari tim pengembang sistem. Selain itu, keakraban penguji dengan kode tidak akan mempengaruhi seberapa baik pengujian kode.

Tujuan dari tes ini adalah untuk menemukan kelemahan yang dapat digunakan oleh penyerang untuk menerobos jaringan. Penguji penetrasi akan memusatkan perhatian mereka pada input yang mereka masukkan ke dalam sistem serta output yang diberikan sistem kepada mereka.

Manfaat yang Bisa Anda Dapatkan dari Metode Uji Penetrasi Ini

  • Metode ini akan menguji sistem dalam arti yang sebenarnya seperti peretas sungguhan
  • Uji penetrasi ini dapat membantu menemukan kerentanan di dalam aplikasi dan jaringan
  • Karena pengujian dilakukan pada saat run time, ini berarti bahwa pengujian juga dapat membantu mendeteksi masalah konfigurasi dan implementasi
  • Tes ini dapat membantu mendeteksi pembuatan produk yang salah seperti file yang hilang, modul yang hilang, atau versi lama
  • Pengujian black box testing ini dapat membantu mendeteksi masalah keamanan yang berhubungan dengan manusia ketika penguji penetrasi juga menggunakan serangan rekayasa sosial dalam prosesnya.
  • Tes ini dapat membantu mendeteksi masalah keamanan yang berasal dari interaksi lingkungan dengan kerentanan seperti OS yang tidak dikeraskan, file konfigurasi yang tidak tepat, aplikasi, dan lainnya.
  • Tes ini dapat membantu mendeteksi masalah seperti pengungkapan informasi di dalam pesan kesalahan, kesalahan validasi output atau input, dan banyak lagi.
  • Metode pengujian ini bisa lebih murah biayanya dibandingkan dengan metode pengujian penetrasi lainnya seperti white box test atau gray box test.

Kelemahan yang Dimiliki Metode Uji Penetrasi Ini

Uji penetrasi ini sebenarnya merupakan komponen penting terutama untuk pengujian keamanan pada aplikasi. Tetapi Anda tidak boleh menggunakan uji penetrasi ini untuk menggantikan tinjauan komprehensif pada kode sumber serta sistem internal.

Alasannya adalah metode uji penetrasi ini tidak akan menyertakan pengujian internal dalam prosesnya. Ini berarti bahwa sistem mungkin tampak seolah-olah aman jika penguji penetrasi tidak dapat menemukan kerentanan saat menguji komponen eksternal.

Kerentanan yang diidentifikasi dalam pengujian ini sebenarnya hanya mampu menunjukkan bahwa sistem memiliki kelemahan dalam pembangunan keamanannya. Dengan demikian, black box testing ini tidak dapat menyoroti kerentanan penting yang tersembunyi di dalam sistem.

Namun, aplikasi ini sebenarnya mungkin memiliki banyak kerentanan di luar komponen eksternal. Inilah sebabnya mengapa Anda masih perlu melakukan pengujian internal terpisah untuk memastikan apakah sistem benar-benar aman dari dalam ke luar atau tidak.

Teknik yang Digunakan untuk Melakukan Uji Penetrasi Black Box Testing

Pengujian sintaksis

Teknik ini dilakukan dengan menguji format yang digunakan untuk memasukkan data ke dalam sistem. Biasanya penetration tester akan menambahkan input dengan elemen yang hilang, input yang salah tempat, mengandung pembatas ilegal, input sampah dan sebagainya. Kemudian mereka akan melihat hasil yang terjadi ketika input menyimpang dari sintaks asli yang digunakan dalam sistem.

Pemindaian port penuh

Teknik ini dilakukan untuk mengidentifikasi port terbuka yang mungkin terekspos atau port yang dapat mengarah ke berbagai informasi yang dapat digunakan untuk menemukan vektor eksploitasi atau kerentanan lainnya. Biasanya pemindaian akan dilakukan pada semua port TCP dan beberapa port UDP yang populer.

Fuzzing

Teknik black box testing ini dilakukan terhadap antarmuka web untuk menemukan pemeriksaan input yang hilang. Metode yang digunakan adalah menyuntikkan data yang dibuat dengan baik atau data acak ke dalam sistem. Itulah sebabnya, teknik ini juga sering disebut sebagai injeksi noise.

Tujuan dari tes penetrasi ini adalah untuk mengidentifikasi perilaku tidak biasa yang dilakukan program setelah diserang dengan injeksi noise. Jika serangan ini berhasil, ini berarti perangkat lunak tidak diperiksa dengan benar yang dapat menyebabkan kerentanan yang dapat dieksploitasi lebih lanjut oleh penyerang.

Vulnerability scanning

Teknik ini dilakukan dengan menguji alamat IP yang akan diuji menggunakan alat pemindaian kerentanan. Alat pemindaian ini akan menelusuri sistem yang ditargetkan dengan menggunakan kerentanan yang telah diketahui yang telah dikumpulkan dalam basis data alat. Dengan melakukan teknik ini, penguji penetrasi dapat melihat apakah target memiliki kerentanan yang diketahui.

Penting untuk diperhatikan bahwa banyak kerentanan yang ditemukan menggunakan alat pemindaian kerentanan dapat menjadi positif palsu. Itulah sebabnya penguji penetrasi perlu melakukan konfirmasi manual untuk memverifikasi apakah kerentanan itu benar atau tidak. Namun, kerentanan yang terdeteksi menggunakan alat pemindaian kerentanan dapat menjadi sumber awal yang dapat ditelusuri lebih lanjut oleh penguji penetrasi.

Pemantauan perilaku program

Teknik ini dilakukan agar penetration tester dapat memahami respon yang diberikan oleh program yang ingin diuji. Penguji mungkin juga menemukan gejala yang tidak spesifik yang dapat menjadi indikasi kerentanan tersembunyi. Proses pengujian juga dapat diotomatisasi menggunakan alat sehingga penetration tester tidak perlu memeriksa anomali dalam perilaku program secara manual.

Analisis data

Teknik ini dilakukan dengan meninjau data yang diambil dari aplikasi target. Dengan menggunakan teknik ini, penguji penetrasi akan dapat memahami bagaimana fungsi target secara internal.

Pengumpulan Informasi menggunakan intelijen terbuka

Teknik ini dilakukan agar penetration tester dapat melakukan pemetaan yang lebih baik terhadap sistem target yang akan mereka kerjakan. Penguji penetrasi akan menggunakan sumber daya publik dalam mengumpulkan sebanyak mungkin data yang terkait dengan jaringan, sistem, dan aplikasi yang akan mereka uji. Dengan begitu, mereka bisa mendapatkan gambaran tentang target yang akan mereka kerjakan.

Tes eksplorasi

Teknik black box testing ini dilakukan tanpa memiliki perencanaan pengujian sebelum pengujian atau tanpa ekspektasi pada hasil spesifik yang diinginkan dari pengujian. Alasannya adalah karena mereka ingin membiarkan anomali atau hasil dari tes untuk memandu cara kerja tes. Teknik ini sangat penting dalam pengujian penetrasi terutama karena Anda mungkin menemukan hasil yang besar yang dapat membantu membentuk cara kerja pengujian.

Serangan kata sandi

Teknik ini dilakukan untuk menemukan kerentanan password dalam sistem. Terutama karena menggunakan brute force untuk menyerang formulir login adalah vektor serangan yang biasa digunakan oleh penyerang jahat.

Penguji penetrasi akan menggunakan satu set kata sandi umum atau alat pemindaian password yang secara otomatis akan menguji sistem untuk mencoba mendapatkan akses ke dalamnya. Ada berbagai macam metode yang dapat digunakan pada teknik ini, namun semuanya dilakukan dengan tujuan yang sama yaitu untuk menguji apakah ada akun di dalam sistem yang menggunakan password yang lemah.

Uji perancah

Teknik ini dilakukan dengan menggunakan alat bantu untuk mengotomatiskan pengujian. Dengan menggunakan teknik ini, penguji penetrasi akan dapat menemukan perilaku kritis dalam program yang mereka uji yang tidak dapat ditemukan dengan menggunakan pengujian manual. Biasanya alat yang digunakan dalam pengujian juga akan mencakup pemantauan kinerja, uji alat manajemen, dan debugging.

Baca Lebih Lanjut Apa itu Pentest (Pengujian Penetrasi)?

Cara Melakukan Uji Penetrasi Black Box Testing Langkah demi Langkah

  • Pengintaian
    Hal pertama yang akan dilakukan oleh penguji penetrasi adalah mengumpulkan informasi awal karena mereka tidak akan memiliki informasi sebelumnya tentang sistem target sama sekali dalam black box testing ini. Selama langkah ini penetration tester akan mengumpulkan beberapa informasi tentang informasi karyawan, alamat email, situs web, alamat IP, titik-titik masalah yang dapat mereka ungkapkan dan banyak lagi.
  • Pemindaian dan pencacahan
    Pada langkah ini, penetration tester akan masuk lebih dalam lagi dari langkah sebelumnya untuk menemukan informasi yang lebih rinci tentang target. Beberapa informasi yang mereka kumpulkan selama langkah ini seperti akun pengguna, OS yang digunakan, peran pengguna, sistem yang terhubung, perangkat lunak yang digunakan, versi, dan banyak lagi.
  • Menemukan kerentanan
    Setelah penetration tester mengumpulkan berbagai informasi dari dua langkah sebelumnya, sekarang mereka dapat mencoba menemukan kerentanan di dalam jaringan dan sistem yang menjadi target mereka. Mereka juga akan menggunakan kerentanan yang ditemukan pada aplikasi, sistem, dan versi pihakketiga yang digunakan oleh target.
  • Eksploitasi
    Setelah kerentanan diidentifikasi pada langkah-langkah sebelumnya, sekarang saatnya bagi penguji penetrasi untuk mengeksploitasinya dan membuat permintaan berbahaya pada sistem. Penguji penetrasi akan mencoba masuk ke inti sistem menggunakan rute tercepat yang dapat mereka temukan.
  • Eskalasi hak istimewa
    Setelah penguji penetrasi dapat masuk ke dalam sistem, mereka kemudian akan meningkatkan tingkat akses yang mereka dapatkan untuk sepenuhnya mengambil alih sistem serta basis data.

Kesimpulan

Seperti yang Anda lihat, black box testing dapat membantu Anda menemukan kerentanan dalam jaringan dan sistem. Metode pengujian ini lebih nyata karena penguji penetrasi tidak memiliki informasi awal tentang sistem.

Ini berarti penetration tester harus menggali lebih dalam untuk menemukan informasi yang mereka butuhkan yang dapat menuntun mereka untuk menemukan kerentanan besar yang mungkin terlewatkan jika pengujian dilakukan dengan metode lain.

Tags: black box testing, metode pblack box testing, manfaat black box testing, teknik black box testing, panduan black box testing,

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: