Praktik Pentest Server - Rian010/Journal GitHub Wiki

Pengetesan Server (Server Pentest) adalah praktik menguji keamanan suatu server atau aplikasi web yang berjalan di atasnya. Ini dilakukan dengan cara mencoba melakukan serangan terhadap sistem target, sehingga dapat menemukan kerentanan dan kelemahan pada sistem tersebut. Berikut ini beberapa langkah umum dalam praktik Pengetesan Server:

1. Reconnaissance

Reconnaissance atau pendahuluan merupakan tahap awal dalam proses penetrasi. Di tahap ini, perisian scanner jaringan digunakan untuk mengumpulkan informasi tentang sistem target, seperti alamat IP, nama domain, port yang dibuka, dan layanan yang sedang berjalan. Beberapa tools populer untuk reconnaissance antara lain Nmap, Whois, dan Ping.

2. Scanning

Setelah mendapatkan gambaran umum tentang sistem target, selanjutnya dilakukan skanning lebih detail. Skanning ini bertujuan untuk mendeteksi versi software, service, OS, dan system setting yang dipakai oleh sistem target. Tools yang biasanya digunakan dalam tahap ini antara lain Nikto, Nessus, OpenVAS, dan Nexpose.

3. Exploitation

Tahap exploitation merupakan tahap dimana penyerang mulai memanfaatkan kerentanan dan kelemahan yang telah dideteksi pada tahap sebelumnya. Metode-metode exploit yang biasa digunakan antara lain SQL injection, XSS, CSRF, dan buffer overflow. Untuk melakukan exploit, kita bisa menggunakan tools seperti Metasploit, Burp Suite, sqlmap, dan BeEF.

4. Post Exploitation

Setelah berhasil masuk ke dalam sistem target, selanjutnya dilakukan post exploitation untuk mengambil data sensitif dan melakukan aktivitas yang tidak sah, seperti mengubah konfigurasi sistem, menginstal malware, atau mendapat akses root. Hal ini sangat penting untuk menggali lebih dalam tentang sistem target dan menghindari deteksinya oleh pengawas siste. Tools yang biasanya digunakan dalam tahap ini antara lain Mimikatz, PowerSploit, Empire, dan Cobalt Strike.

Demikianlah beberapa langkah umum dalam praktik Pengetesan Server. Harus dicatat bahwa setiap tahapan harus dilakukan dengan hati-hati dan peduli dengan implikasi negatif yang dapat timbul, misalnya downtime sistem atau kehilangan data. Selain itu, pentester juga wajib memperoleh persetujuan dari pemilik sistem target sebelum melakukan pengetesan.