Blog/Panduan Lengkap: Apa yang Terjadi Selama Penetration Testing
Penetration Testing

Panduan Lengkap: Apa yang Terjadi Selama Penetration Testing

15 Maret 202512 menitTim Ahli Bulktech
PentestMethodologyRed Team

Apa itu Penetration Testing?


Penetration testing (pentest) adalah simulasi serangan siber yang terotorisasi untuk mengidentifikasi kerentanan sebelum penyerang nyata menemukannya. Berbeda dengan vulnerability scanning yang otomatis, pentest melibatkan ethical hacker yang berpikir dan bertindak seperti attacker sungguhan.


Tahapan Metodologi Pentest


1. Scoping & Planning (Pra-Engagement)

Sebelum tes dimulai, tim pentest dan klien menyepakati:

  • Scope: Sistem apa yang boleh diuji (IP range, domain, aplikasi)
  • Rules of Engagement: Tindakan apa yang diizinkan/dilarang
  • Timeline: Kapan tes dilakukan dan berapa lama
  • Emergency Contact: Siapa yang dihubungi jika ada masalah

    • 2. Reconnaissance (Pengumpulan Informasi)

    Pengumpulan informasi tentang target secara pasif dan aktif:

  • OSINT (Open Source Intelligence): LinkedIn, WHOIS, Google Dorking
  • Network scanning: Port terbuka, service yang berjalan
  • DNS enumeration, subdomain discovery

    • 3. Vulnerability Analysis

    Identifikasi kerentanan berdasarkan informasi yang dikumpulkan:

  • Versi software yang sudah usang
  • Konfigurasi yang salah
  • Kerentanan yang sudah diketahui (CVE)
  • Logic flaws di aplikasi

    • 4. Exploitation

    Percobaan mengeksploitasi kerentanan yang ditemukan secara terkontrol. Tujuannya bukan merusak, tapi membuktikan dampak nyata dari kerentanan.


    5. Post-Exploitation

    Simulasi apa yang bisa dilakukan attacker setelah berhasil masuk:

  • Lateral movement (bergerak ke sistem lain)
  • Privilege escalation (mendapatkan akses lebih tinggi)
  • Data exfiltration (pencurian data)

    • 6. Reporting

    Laporan komprehensif yang mencakup:

  • Executive Summary (untuk manajemen)
  • Technical Findings (detail teknis tiap kerentanan)
  • Risk Rating (Critical, High, Medium, Low)
  • Remediation Recommendations

    • Jenis Pentest



    Berapa Sering Harus Dilakukan?


  • Minimal: Setahun sekali
  • Setelah perubahan besar: Infrastruktur baru, aplikasi baru
  • Sebelum go-live: Setiap aplikasi yang akan dipublish
  • Compliance: Mengikuti persyaratan PCI-DSS, ISO 27001


    • Siap melakukan penetration testing? [Hubungi tim Bulktech](/contact) untuk proposal gratis.

    Butuh Bantuan Keamanan Digital?

    Tim ahli Bulktech siap membantu Anda. Konsultasi pertama gratis.

    Konsultasi Gratis
    Kembali ke Blog