Web Penetration Testing

Web Penetration testing (web pentest) merupakan istilah untuk pengujian terhadap kehandalan suatu web dan mendokumentasikan tingkat keamanan aplikasi web. Jika ditemukan kelemahan pada aplikasi web maka akan dilakukan patch/penambalan sehingga keamanan web menjadi lebih baik. Web pentest dilakukan sesuai konteks hukum yang legal, dengan kontrak antara auditor/pentester dengan perusahaan yang ingin dilakukan web pentest.

Analisa Celah Keamanan

Kami memberikan analisa celah keamanan secara komprehensif. Proses pencarian celah keamanan dilakukan baik secara manual ataupun otomatisasi menggunakan perangkat lunak.

Tujuan dasar dari web pentest adalah untuk mengidentifikasi adanya kelemahan keamanan dalam aplikasi web. Jika kelemahan dapat diidentifikasi dan dapat dibuktikan beserta dengan analisis resikonya, maka anda akan memiliki kemampuan dan waktu untuk memperbaikinya sebelum seseorang yang tidak berkepentingan mengambil keuntungan dari kelemahan tersebut.

Blackbox Testing

Dengan menggunakan metode ini, maka kami akan melakukan pencarian celah keamanan tanpa mengetahui apapun mengenai sistem yang anda gunakan selain domain aplikasi anda.

Whitebox Testing

Kami akan mempelajari pemrograman aplikasi anda (review kode pemrograman) sehingga kemungkinan menemukan vulnerable/celah kelemahan semakin lebih tinggi.

Hubungi kami kapan saja untuk mendapatkan support

+62 21 220-926-86

info@sentradata.id

Dalam melakukan pencarian celah keamanan maka kami akan menggunakan OWASP Top 10 yang mulai berjalan sejak tahun 2007. Rilis OWASP setiap tahunnya hampir selalu menempatkan celah keamanan Injection dan XSS berada pada tiga besar, sehingga celah keamanan ini akan menjadi prioritas kami untuk ditemukan dan diperbaiki.

OWASP Top 10 2007

A1 – Cross Site Scripting (XSS)
A2 – Injection Flaws
A3 – Malicious File Execution
A4 – Insecure Direct Object Reference
A5 – Cross Site Request Forgery (CSRF)
A6 – Information Leakage and Improper Error Handling
A7 – Broken Authentication and Session Management
A8 – Insecure Cryptographic Storage
A9 – Insecure Communications
A10 – Failure to Restrict URL Access

OWASP Top 10 2010

A1 - Injection
A2 - Cross-Site Scripting (XSS)
A3 - Broken Authentication and Session Management
A4 - Insecure Direct Object References
A5 - Cross-Site Request Forgery (CSRF)
A6 - Security Misconfiguration
A7 - Insecure Cryptographic Storage
A8 - Failure to Restrict URL Access
A9 - Insufficient Transport Layer Protection
A10 - Unvalidated Redirects and Forwards

OWASP Top 10 2013

A1 - Injection
A2 - Broken Authentication and Session Management
A3 - Cross-Site Scripting (XSS)
A4 - Insecure Direct Object References
A5 - Security Misconfiguration
A6 - Sensitive Data Exposure
A7 - Missing Function Level Access Control
A8 - Cross-Site Request Forgery (CSRF)
A9 - Using Components with Known Vulnerabilities
A10 - Unvalidated Redirects and Forwards

OWASP Top 10 2017

A1 - Injection
A2 - Broken Authentication and Session Management
A3 - Cross-Site Scripting (XSS)
A4 - Broken Access Control (As it was in 2004)
A5 - Security Misconfiguration
A6 - Sensitive Data Exposure
A7 - Insufficient Attack Protection (NEW)
A8 - Cross-Site Request Forgery (CSRF)
A9 - Using Components with Known Vulnerabilities
A10 - Underprotected APIs (NEW)

Dalam melakukan web penetration testing kami menggunakan OWASP Top 10 sebagai acuan, di mana kami hanya akan fokus hanya pada keamanan aplikasi web . Kami akan menganalisis secara aktif terhadap aplikasi web dalam hal menemukan kelemahan, kecacatan teknis, dan rekomendasi perbaikan yang ditawarkan.