Category: pentestindonesia

Banyak orang menganggap bahwa membuat alat peretasan (hacking tools) hanya bisa dilakukan oleh orang-orang jenius dengan kemampuan teknis tingkat tinggi. Memang benar, ada aspek teknis yang rumit, tetapi kenyataannya membangun alat peretasan tidak hanya soal menulis kode atau memahami sistem operasi. Ada beberapa hal lain yang ternyata jauh lebih penting. 1. Pemahaman yang Dalam tentang Sistem Seorang pembuat alat peretasan harus benar-benar memahami bagaimana sebuah sistem bekerja, bukan hanya di permukaannya. Misalnya, bagaimana jaringan komputer berkomunikasi, bagaimana aplikasi menyimpan data, atau bagaimana enkripsi melindungi informasi. Tanpa pemahaman ini, sulit untuk menemukan celah keamanan yang bisa dimanfaatkan. 2. Rasa Ingin Tahu yang Tinggi Hampir semua hacker berawal dari rasa penasaran. Mereka ingin tahu “Apa yang terjadi kalau saya menekan tombol ini?” atau “Apakah sistem ini bisa dibuka dengan cara lain?” Rasa ingin tahu inilah yang mendorong mereka untuk terus belajar, mencoba, dan akhirnya menciptakan alat baru. 3. Kreativitas dalam Menemukan Solusi Hacking bukan hanya tentang merusak, tetapi juga tentang mencari jalan pintas yang tidak terpikirkan orang lain. Alat peretasan sering lahir dari ide-ide kreatif untuk memanfaatkan sesuatu dengan cara yang berbeda. Misalnya, menggunakan kelemahan kecil dalam aplikasi untuk masuk ke seluruh sistem. 4. Kesabaran dan Ketekunan Membangun alat peretasan bukan pekerjaan instan. Ada banyak percobaan yang gagal, kode yang harus diuji berulang kali, dan bug yang sulit ditemukan. Hacker yang berhasil biasanya adalah mereka yang sabar dan tidak mudah menyerah. 5. Etika dan Tanggung Jawab Hal yang sering dilupakan adalah, alat peretasan bisa digunakan untuk dua tujuan: baik maupun buruk. Sama seperti pisau yang bisa dipakai untuk memasak atau melukai orang, hacking tools bisa membantu perusahaan menemukan kelemahan keamanan (ethical hacking), tapi juga bisa merugikan orang lain jika digunakan untuk kejahatan. Karena itu, membangun alat peretasan juga butuh kesadaran etis dan tanggung jawab. Penutup Jadi, apakah kita benar-benar tahu apa yang dibutuhkan untuk membangun alat peretasan? Mungkin jawabannya adalah: lebih dari sekadar skill teknis. Diperlukan rasa ingin tahu, kreativitas, kesabaran, dan tentu saja etika. Dengan kombinasi inilah, seorang hacker bisa menciptakan alat yang bermanfaat—bukan sekadar berbahaya. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Pernahkah kamu bertanya-tanya: berapa lama sebuah celah keamanan (vulnerability) tetap berbahaya setelah dipublikasikan? Kapan kita bisa benar-benar berhenti mengkhawatirkannya? Sebagai latihan riset internal, kami meneliti CVE-2021-44026, sebuah celah SQL Injection pada aplikasi email berbasis web Roundcube. Walaupun celah ini sudah berusia dua tahun, nyatanya masih dipakai dalam serangan di musim panas 2023. Pada 20 Juni 2023, CERT-UA dan Recorded Future melaporkan adanya serangan terhadap infrastruktur email beberapa organisasi pemerintah. Serangan tersebut menggunakan email berisi exploit yang memanfaatkan rantai kerentanan di Roundcube: XSS pada rendering link email (CVE-2020-35730) yang digabungkan dengan SQL Injection terautentikasi (CVE-2021-44026). Apa itu Roundcube dan kenapa penting? Roundcube adalah klien email berbasis web (IMAP) dengan tampilan mirip aplikasi desktop. Fiturnya lengkap: dukungan MIME, buku alamat, manajemen folder, pencarian pesan, hingga spell checking. Roundcube dipakai secara luas, baik oleh NGO, institusi publik, maupun menjadi klien email bawaan cPanel. Karena popularitasnya tinggi, kami memutuskan untuk meneliti ulang SQL Injection ini. Analisis Patch SQL Injection Roundcube adalah open-source, jadi kami meninjau langsung patch di GitHub. Versi 1.4.12 memperbaiki bug ini dengan dua commit penting: Validasi input _sort – input dari pengguna yang sebelumnya bisa berisi karakter bebas, sekarang dibatasi hanya huruf (a-z, A-Z), underscore (_), dan minus (-). Perubahan pada penggunaan session $_SESSION[‘search’] – kunci session untuk pencarian diubah agar tidak konflik dengan fungsi pencarian email lain. Dari sini, kami menduga ada peluang manipulasi session yang berujung pada SQL Injection. Bagaimana Celah SQL Injection Terjadi? Pengguna bisa mengubah $_SESSION[‘sort_col’] lewat parameter _sort. Nilai ini nantinya dipakai di query SQL. Contoh: _sort=”1=1;–” Nilai itu berpindah ke $_SESSION[‘search’] saat pengguna melakukan pencarian email. Lalu, saat ekspor kontak (misalnya jadi vCard), input tersebut dipakai langsung dalam query SQL tanpa filter. Hasilnya: SQL Injection dapat dijalankan. Rantai Eksploitasi Untuk benar-benar mengeksploitasi bug ini, penyerang perlu 3 langkah request HTTP: Pollute session dengan payload SQLi lewat parameter _sort. Trigger pencarian agar nilai dari _sort dipindahkan ke $_SESSION[‘search’]. Ekspor kontak untuk menjalankan query SQL berbahaya dan mengeluarkan hasilnya dalam format vCard. Tantangan Eksploitasi Dalam uji coba PoC (Proof of Concept), kami menemukan beberapa tantangan: Hijacking session – Roundcube tidak menyimpan email di database, hanya metadata. Jadi untuk bisa mengakses email, penyerang perlu mencuri session pengguna agar bisa masuk ke akun mereka. Tabel session di database menyimpan sess_id dan vars (yang berisi username, password terenkripsi, dan session secret). Untuk bypass, digunakan trik PostgreSQL dengan escaped Unicode supaya bisa menulis kolom sess_id tanpa karakter _ yang diblokir. Bypass validasi timestamp – Session Roundcube memakai dua cookie (roundcube_sessid dan roundcube_sessauth). Nilai sessauth dihitung dari secret + timestamp server. Jika timestamp salah, session otomatis invalid. Solusinya: penyerang bisa meniru cara Roundcube membangunnya, dengan memperkirakan waktu server. Apakah Celah Ini Masih Penting di 2023? Kami lalu memeriksa seberapa banyak server Roundcube di internet yang masih terpengaruh. Total ditemukan 74.039 server Roundcube (November 2023, via Shodan). Sebagian besar di AS, Jerman, dan Rusia. Dari 45.238 server yang versi-nya bisa diidentifikasi: Versi 1.4 paling banyak dipakai, hampir setara gabungan versi 1.5 dan 1.6. Versi yang rentan: sebelum 1.3.17 dan 1.4.x sebelum 1.4.12. Hasilnya: 21.901 server (29,6%) masih rentan. Kesimpulan Walaupun sudah berusia dua tahun, CVE-2021-44026 masih banyak dipakai dalam serangan nyata. Bahkan hampir 1 dari 3 server Roundcube yang terhubung ke internet masih rentan di akhir 2023. Kami merilis exploit ini untuk mendorong admin segera upgrade Roundcube mereka. Kalau tidak, aktor jahat yang sudah punya exploit siap pakai akan memanfaatkannya untuk mencuri email. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Sebagai seorang pentester, hari kerja saya terasa menyenangkan kalau alur kerja lancar tanpa hambatan. Pekerjaan rutin bisa saya dorong ke latar belakang (otomatisasi itu nikmat!) sehingga saya bisa fokus pada temuan menarik dan urutan serangan yang mungkin tidak terlihat oleh semua orang. Rasanya juga puas karena bisa produktif dan pekerjaan cepat selesai. Setelah menjalankan ratusan pentest dan belajar dari masing-masingnya, saya akhirnya menemukan alur kerja pentest web aplikasi yang rapi dan bisa diandalkan setiap kali. Alur ini menggabungkan prinsip dan taktik dari standar industri seperti OWASP Web Security Testing Guide, Penetration Testing Execution Standard (PTES), dan Open Source Security Testing Methodology Manual (OSSTMM). Panduan langkah demi langkah ini menjelaskan cara menggunakan fitur Pentest-Tools.com untuk mempercepat dan merampingkan workflow saat melakukan assessment pada website. Kita akan mulai dari pemetaan attack surface, lalu menjalankan tool tertentu untuk melakukan pemindaian mendalam dan menemukan celah keamanan pada web aplikasi. Semua hasil temuan otomatis terkumpul di vulnerability management pada dashboard Pentest-Tools.com, di mana kamu bisa memfilter, memvalidasi, menyesuaikan tingkat risiko, atau mengabaikan temuan yang tidak ingin dimasukkan ke laporan akhir. Saya juga menyelipkan banyak tips hemat waktu agar kamu bisa memangkas jam kerja di setiap proyek pentest. Yuk kita bahas detailnya! 1. Cari Subdomain [opsional] untuk memetakan attack surface Kalau kamu sudah tahu semua hostname target, tahap ini bisa dilewati. Tapi menemukan subdomain penting karena sering kali mengarah ke aplikasi lain yang lebih tersembunyi, bahkan ada yang berupa aplikasi test/development yang biasanya lebih lemah keamanannya. Target empuk bagi penyerang. Gunakan Subdomain Finder untuk menghasilkan daftar subdomain. Ingat, tool ini tidak menjamin menemukan semua. Hanya jika punya akses ke DNS server dan melihat zone file kamu bisa tahu semuanya. 2. Cari Virtual Hosts [opsional] Setiap web server bisa saja menampung beberapa website (vhosts). Jika salah satunya kena kompromi, penyerang berpotensi mengakses website lain yang berada di server sama. Jadi penting untuk memindai semua virtual hosts. Gunakan Find Virtual Hosts tool untuk menemukannya berdasarkan IP. 3. Jalankan TCP Port Scanner Langkah ini untuk mengetahui layanan jaringan apa saja yang terbuka dan bisa diakses publik. Misalnya SSH yang tidak dibatasi whitelist IP tertentu. Port Scanner akan mendeteksi port terbuka, layanan yang berjalan, dan versinya. Layanan umum juga bisa jalan di port non-standar, misalnya web server di port 32566. Tambahan: lakukan juga UDP Port Scan. Walaupun jarang, layanan UDP yang rentan bisa jadi risiko besar juga. Tips: Gunakan Domain Recon Robot untuk mengotomatisasi pencarian subdomain, scanning port, hingga fingerprint teknologi web. 4. Gunakan Website Scanner Tool ini mencari celah keamanan umum seperti SQL Injection, XSS, OS Command Injection, Directory Traversal, dan lain-lain. Light Scan → pasif, aman, tidak mendalam. Full Scan → mendalam, crawling aplikasi, mencari file tersembunyi, cek konfigurasi server, dll. Setiap temuan berisi deskripsi risiko, rekomendasi perbaikan, dan bukti serangan (attack vector). Opsional: Gunakan CMS Scanner (WordPress, SharePoint, dll) untuk cek versi lama, plugin lemah, atau konfigurasi buruk. Lakukan Authenticated Scan jika aplikasi perlu login agar hasil lebih lengkap. Jalankan URL Fuzzer untuk menemukan file/dir tersembunyi (misalnya /backup/, source_code.zip, dll). Tambahkan Google Hacking Tool untuk mencari data sensitif lewat mesin pencari. Tips: Semua hasil dari scanner ini terkumpul otomatis di Attack Surface view pada dashboard. 5. Lakukan Password Audit Cek kredensial lemah pada web app atau service jaringan (SSH, FTP, MySQL, RDP, dll). Tool Password Auditor bisa otomatis mencoba login menggunakan kombinasi username/password dari wordlist. Tips: Gunakan Auto HTTP Login Bruteforcer Robot untuk mendeteksi URL yang butuh autentikasi HTTP (401) lalu brute force otomatis. 6. Jalankan Network Vulnerability Scanner dengan OpenVAS Scanner ini mendeteksi banyak kerentanan di layanan jaringan, OS, dan web server. Bisa juga dipakai untuk private server di internal network dengan VPN Agent. Jika hasil scan tidak menemukan port terbuka padahal seharusnya ada, jalankan ulang dengan opsi “Check if host is alive” dimatikan. 7. Cek SSL/TLS [opsional] Gunakan SSL/TLS Vulnerability Scanner untuk melihat konfigurasi yang lemah, protokol usang, atau cipher yang tidak aman. Tips: Buat scan template untuk menjalankan beberapa tool sekaligus dalam urutan tertentu. 8. Validasi Temuan & Buat Laporan Semua hasil otomatis terkumpul di Findings pada dashboard. Dari sini kamu bisa: verifikasi dan validasi temuan ubah level risiko tandai fixed atau ignore buat laporan otomatis Kamu juga bisa mengedit temuan secara massal, menghemat waktu, dan menghasilkan laporan yang bisa langsung dipakai untuk klien. Workflow Kamu Siap Jalan Ingat, bukan banyaknya tools yang menentukan kualitas pentest, tapi bagaimana kamu menggunakannya. Dengan Pentest-Tools.com, kamu bisa: meminimalisir pekerjaan rutin gunakan pengalamanmu untuk menemukan koneksi antar risiko menerjemahkan risiko teknis ke bahasa bisnis meyakinkan decision-maker agar segera bertindak Dengan panduan ini, kamu sudah siap melakukan website vulnerability assessment lengkap seperti profesional! Dan jangan lupa: keamanan itu proses berkelanjutan. Lakukan pemindaian rutin agar sistem selalu terlindungi. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

API (Application Programming Interface) kini menjadi tulang punggung aplikasi modern. Mulai dari aplikasi mobile, e-commerce, hingga layanan cloud – semua terhubung lewat API. Tapi, semakin banyak API digunakan, semakin besar juga risiko keamanan yang harus dihadapi. Untuk membantu developer dan security engineer, OWASP (Open Web Application Security Project) merilis daftar Top 10 API Security Risks – yaitu 10 risiko keamanan API yang paling umum dan berbahaya. Dengan memahami daftar ini, kita bisa tahu cara melindungi API dari serangan nyata. Mari kita bahas satu per satu dengan contoh sederhana. 1. Broken Object Level Authorization (BOLA) Masalah: API tidak memvalidasi apakah pengguna berhak mengakses data tertentu. Contoh: User A bisa mengganti ID di URL (/api/user/123) dan mengakses data User B. Solusi: Selalu validasi otorisasi berdasarkan user, bukan hanya parameter. 2. Broken Authentication Masalah: Mekanisme login atau token tidak aman. Contoh: API hanya pakai token statis yang mudah ditebak. Solusi: Gunakan autentikasi yang kuat seperti OAuth 2.0 atau JWT dengan expiry. 3. Broken Object Property Level Authorization Masalah: API memberikan akses ke properti yang seharusnya tidak boleh dilihat. Contoh: API mengembalikan field isAdmin dalam JSON, padahal user biasa tidak perlu tahu. Solusi: Batasi field yang dikirim berdasarkan role pengguna. 4. Unrestricted Resource Consumption Masalah: API tidak membatasi jumlah request. Contoh: Penyerang mengirim ribuan request untuk membuat server down. Solusi: Terapkan rate limiting dan throttle. 5. Broken Function Level Authorization Masalah: API tidak memisahkan hak akses untuk fungsi tertentu. Contoh: User biasa bisa mengakses endpoint admin /api/deleteUser. Solusi: Gunakan kontrol otorisasi yang ketat berdasarkan role. 6. Unrestricted Access to Sensitive Business Flows Masalah: API memungkinkan otomatisasi pada fungsi penting tanpa pembatasan. Contoh: Bot bisa mengirim ribuan transaksi “checkout” dalam e-commerce untuk mengganggu sistem. Solusi: Tambahkan proteksi bot, captcha, atau monitoring perilaku abnormal. 7. Server-Side Request Forgery (SSRF) Masalah: API menerima URL dari user dan langsung mengaksesnya. Contoh: User mengirim URL internal http://localhost/admin melalui API, lalu API mengeksekusinya. Solusi: Validasi input URL dan batasi akses hanya ke domain terpercaya. 8. Security Misconfiguration Masalah: Pengaturan API yang salah. Contoh: Debug mode aktif di production sehingga menampilkan stack trace. Solusi: Terapkan konfigurasi standar keamanan (hardening). 9. Improper Inventory Management Masalah: API versi lama masih terbuka tanpa pengawasan. Contoh: API v1 masih bisa diakses meskipun sudah ada v2 dengan perbaikan bug. Solusi: Dokumentasikan semua API dan tutup yang sudah tidak digunakan. 10. Unsafe Consumption of APIs Masalah: Aplikasi mempercayai API pihak ketiga tanpa validasi. Contoh: Aplikasi mengambil data dari API eksternal tanpa memverifikasi sertifikat SSL. Solusi: Selalu validasi response API eksternal dan gunakan TLS/HTTPS. Kesimpulan Mengamankan API bukan hanya soal menambahkan token atau enkripsi, tapi juga memastikan setiap endpoint terlindungi dari berbagai celah. Dengan memahami OWASP Top 10 API Security Risks, developer bisa membangun API yang lebih aman, tangguh, dan terpercaya. Ingat, API yang aman = data pengguna terlindungi + bisnis tetap berjalan lancar. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Kita tahu ChatGPT membuat kita harus mencari cara baru untuk menyederhanakan pekerjaan. Tapi bagaimana penetration tester bisa memanfaatkannya sebagai alat untuk perubahan nyata? Dan yang lebih penting, perkembangan baru apa di bidang ini yang harus kita perhatikan? Untuk menjawab pertanyaan itu, saya berbincang dengan beberapa profesional security berpengalaman tentang bagaimana mereka memakai ChatGPT dalam pekerjaan sehari-hari. Catat baik-baik ya! 14 Cara Efektif Menggunakan ChatGPT dalam Workflow Pentesting Mădălin Dogaru – Red Teamer | Purple Teamer | Senior Threat Modeler di ThreatConnect Mădălin berbagi pengalaman praktisnya menggunakan ChatGPT, yang menurutnya membuat pekerjaannya 10x lebih efektif. Riset Teknis Ia menggunakan ChatGPT untuk memahami sistem file (CramFS, JFFS2, YAFFS2, ext2, SquashFS). Biasanya baca dokumentasi + artikel bisa memakan waktu lama. Dengan ChatGPT, cukup tanya dengan pertanyaan tepat, hasilnya keluar dalam hitungan detik. Meningkatkan Kecepatan Eksekusi Sebelum ada ChatGPT, ia hanya bisa review kode tahunannya setahun sekali. Sekarang, setiap 3 bulan ia minta ChatGPT review kode, kasih saran optimasi, lalu diuji. Hasilnya? Kecepatan eksekusi naik sampai 40%. Menguji Rencana Sebelum engagement red team, ia minta ChatGPT mencari kelemahan dalam rencananya. Kalau masuk akal, ia revisi. Hasilnya, kemungkinan ketahuan jadi lebih kecil. Alexandru Piriu – Founder & Penetration Tester di Dploit Ia menyebut hal paling praktis: review source code. ChatGPT bisa meringkas kode rumit jadi kalimat sederhana. Tapi ia mengingatkan: jangan pernah masukkan kode internal klien agar tidak melanggar NDA. Matei Anthony Josephs – Senior Penetration Tester di KPMG Bagi Matei, ChatGPT membantu di bagian yang paling dibenci pentester: laporan. Membuat laporan lebih cepat, terutama ringkasan eksekutif dan kesimpulan. Mempercepat belajar dengan prompt sederhana, misalnya: Jelaskan seperti untuk anak 5 tahun Apa bedanya <KONSEP 1> dan <KONSEP 2> dalam poin-poin Membantu membuat draft email formal tentang kerentanan ke klien. Tapi ia menekankan: jangan masukkan data sensitif. Darius Moldovan – Penetration Tester di BIT Sentinel Menurut Darius, ChatGPT paling berguna untuk: Information gathering/recon: untuk target besar, bisa bikin script otomatis cek layanan mana yang rentan. Hemat waktu. Exploitation (terbatas): kadang bisa bantu bikin kode chain exploit, tapi terbatas karena ada filter keyword. Ringkas dokumentasi aplikasi publik. Vuk Markovic – Penetration Tester | Red Teamer Menurut Vuk: ChatGPT tidak akan langsung kasih kode exploit, tapi bisa bantu ide skenario serangan. Bisa dipakai untuk social engineering (contoh: email phishing lebih meyakinkan). Bisa bantu information gathering dari data publik. Pengembangan skenario serangan: bisa dipakai untuk simulasi perilaku attacker. Tapi ia menekankan: ChatGPT tidak cukup, pentester tetap harus bisa ngoding minimal 1 bahasa pemrograman untuk otomatisasi dan eksploitasi nyata. Frédéric Noppe – COO & Senior IT Security Consultant di l3montree.com Frédéric bilang ChatGPT bagus untuk: Membuat email phishing (kalau prompt disiasati dengan framing tertentu). Membantu bikin kode sederhana (HTML, PHP, Python) untuk phishing, tinggal sedikit modifikasi. 6 Taktik Belajar AI ala Offsec Pro Mădălin: fokus, pilih 1 kerentanan di akhir pekan, bikin lab sendiri, dan praktik langsung. Alexandru: baca paper teknis & OSINT, fokus ke isu seperti prompt injection. Matei: langsung pakai ChatGPT di workflow, belajar sambil jalan. Darius: bikin jadwal belajar rutin, catat setiap teknik, ikut CTF. Vuk: atur waktu, pilih spesialisasi (web pentesting atau network pentesting), jangan coba kuasai semua. Frédéric: baca jurnal IT (Heise, Golem), update lewat diskusi dengan rekan. 3 Keterbatasan ChatGPT untuk Pentesting Masalah keamanan – jangan masukkan data sensitif klien. Tidak punya pengetahuan target-spesifik – recon nyata tetap harus manual. Kurang efektif untuk kasus kompleks – bagus untuk hal cepat, tapi untuk kasus rumit masih kalah dengan riset manual. Kesimpulan ChatGPT memang bisa bantu banyak hal dalam pentesting: riset, laporan, efisiensi, sampai social engineering. Tapi ada batasannya. Ia tidak bisa ganti peran manusia, terutama dalam konteks target nyata yang kompleks. Jadi, cara kita menggunakan ChatGPT akan menentukan seberapa besar manfaatnya. Kombinasikan dengan pemikiran kritis manusia, maka hasil kerja bisa lebih efektif dan bernilai bagi klien. Terima kasih untuk 6 profesional keamanan yang berbagi pengalaman. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Setiap hari kami bekerja untuk mengembangkan alat, deteksi, dan exploit yang membantu para ethical hacker meningkatkan pertahanan organisasi. Seperti yang kita tahu, “pertempuran” ini tidak adil – bahkan tidak seimbang: Penetration tester dan praktisi keamanan ofensif lain terikat aturan main dan batasan tertentu. Sementara penyerang bebas melakukan apa saja tanpa aturan. Itulah sebabnya tim riset kami membedah kerentanan yang sering dimanfaatkan penjahat siber dalam serangan nyata, terutama yang belum tersedia exploit publik untuk dipakai oleh profesional keamanan. Kami sering membuat exploit tersebut dan memberikannya kepada Anda, agar bisa digunakan untuk kebaikan dan menanggulangi kerusakan yang ditimbulkan penjahat. Kami paham mungkin Anda bertanya-tanya, “Kenapa kami melakukan ini?” Berikut jawabannya: 1. Berbagi Pengetahuan & Alat adalah Kunci Kemajuan Kami percaya, dunia keamanan informasi hanya bisa maju jika kita semua yang peduli berbagi apa yang kita tahu, kita pelajari, dan cara kita berpikir. Kita menemukan hal-hal baru dengan berdiskusi dan bekerja sama. Kami pun rutin berbagi pengetahuan ini dengan pelanggan, developer, maupun tim operasional. 2. Alat Hacking Itu Netral, yang Menentukan adalah Niat Alat atau skill hacking itu tidak baik atau buruk secara bawaan. Semua tergantung motivasi pribadi. Itu sebabnya kami memilih untuk membangun bukan hanya alat hacking, tapi juga sumber belajar yang membantu para praktisi keamanan menggunakannya dengan etika tinggi dan integritas kuat. 3. Lebih Banyak Pembela daripada Penjahat Kami yakin jumlah orang yang ingin menggunakan kemampuan hacking untuk kebaikan jauh lebih banyak daripada mereka yang punya niat merusak. Mereka layak mendapat dukungan, kepercayaan, dan bantuan dari kita. Karena mereka bisa membawa pengaruh positif agar semakin banyak orang menggunakan keahliannya dengan cara yang benar. 4. Dampak Keamanan Ofensif Sangat Besar Sebuah exploit publik bisa memaksa organisasi untuk lebih cepat memperbaiki kerentanan kritis. Ini sangat penting terutama jika masalah keamanan itu bisa melumpuhkan perusahaan yang diandalkan ribuan orang untuk akses ke layanan penting seperti kesehatan, makanan, transportasi, pekerjaan, dan lainnya. 5. Kami Percaya pada Anda – dan Integritas Anda Anda tidak akan membaca ini kalau tidak sejalan dengan apa yang kami lakukan. Ada banyak kebaikan yang bisa kita lakukan bersama, meski mungkin kita tidak saling mengenal. Kita semua adalah bagian dari komunitas yang percaya teknologi bisa membuat dunia lebih baik – jika kita membangunnya, menggunakannya, dan meningkatkannya dengan cara yang aman. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Pendahuluan Melindungi akun media sosial tidak cukup hanya dengan satu cara. Dibutuhkan pendekatan menyeluruh, seperti menggunakan kata sandi yang kuat, memanfaatkan fitur keamanan bawaan platform, waspada terhadap phishing, bijak mengelola jejak digital, serta memastikan koneksi internet yang aman. Panduan ini membahas langkah-langkah yang bisa Anda lakukan untuk menjaga akun media sosial tetap aman dari ancaman umum. 1. Gunakan Kata Sandi yang Kuat Banyak panduan membahas soal kata sandi, tapi intinya: gunakan password manager seperti Bitwarden, 1Password, atau KeePass. Kenapa? Password manager menyimpan semua kata sandi dalam satu “brankas terenkripsi”. Bisa membuat kata sandi acak dan kuat untuk tiap akun, sehingga Anda tidak perlu mengingat semuanya. Menghindari kesalahan fatal: memakai kata sandi yang sama di banyak akun. ⚠️ Hindari password manager bawaan browser karena fiturnya terbatas dan kurang aman dibanding solusi khusus seperti 1Password. Kata sandi untuk password manager Untuk kunci utama password manager, gunakan kata sandi yang panjang dan kuat (20–30 karakter). Bisa berupa frasa unik ditambah angka dan simbol. Contoh: gunakan generator passphrase untuk memudahkan. Kalau takut lupa? Tulis sementara di kertas dan simpan di tempat aman (brankas atau dengan pengacara). Jangan simpan di HP. Jangan lupa aktifkan Multi-Factor Authentication (MFA) pada password manager. 2. Multi-Factor Authentication (MFA) MFA menambah lapisan keamanan ekstra selain kata sandi. Walaupun seseorang tahu password Anda, mereka tetap butuh verifikasi tambahan. Tiga faktor MFA: Sesuatu yang Anda tahu → kata sandi, PIN, jawaban pertanyaan keamanan Sesuatu yang Anda punya → HP, token keamanan, kunci hardware (misalnya YubiKey) Sesuatu yang Anda adalah → biometrik seperti sidik jari atau wajah Aplikasi autentikasi lebih aman dari SMS Google Authenticator, Duo, Microsoft Authenticator membuat kode unik setiap 30 detik. Tidak butuh sinyal seluler. Tidak bisa diretas dengan teknik SIM swap (mengambil alih nomor ponsel Anda). Risiko pakai SMS Rentan SIM swap scam (seperti kasus peretasan akun Twitter Jack Dorsey tahun 2019). SMS bisa disadap oleh penyerang canggih. Jadi, selalu pilih aplikasi autentikasi atau token hardware kalau tersedia. 3. Manfaatkan Fitur Keamanan Bawaan Hampir semua platform media sosial punya fitur untuk mengamankan akun. Beberapa hal yang bisa dilakukan: Cek sesi login aktif → lihat perangkat mana saja yang masuk ke akun Anda. Logout dari perangkat mencurigakan. Aktifkan notifikasi login → agar Anda segera tahu jika ada akses mencurigakan. Hapus akun lama → akun lama bisa jadi titik lemah jika pernah terkena kebocoran data. Tips: gunakan situs JustDeleteMe untuk mempermudah menghapus akun lama. 4. Waspada Phishing Phishing adalah trik penipuan lewat email, SMS, atau pesan media sosial untuk mencuri data login Anda. Contoh nyata: Instagram palsu: email dengan link ke halaman login tiruan. Facebook palsu: pop-up minta verifikasi akun di website abal-abal. Twitter giveaway: DM menawarkan hadiah palsu dengan link login tiruan. Tanda-tanda phishing: alamat email aneh, bahasa terlalu mendesak, atau link mencurigakan. Kalau ragu, jangan klik. Cek langsung ke aplikasi resmi. 5. Kelola Jejak Digital dengan Bijak Semakin banyak informasi pribadi yang Anda bagikan, semakin mudah penjahat siber menyusunnya untuk menipu Anda. Batasi apa yang Anda posting dan siapa yang bisa melihatnya (atur privacy setting). Jangan bagikan data berlebihan seperti tanggal lahir lengkap, alamat, atau detail pekerjaan. Pantau juga apa yang orang lain posting tentang Anda. 6. Gunakan Jaringan yang Aman Risiko Wi-Fi publik Wi-Fi gratis bisa jadi celah karena data Anda bisa disadap. Kalau bisa, gunakan kuota data pribadi. VPN: solusi tapi harus bijak VPN bisa mengenkripsi data sehingga lebih aman saat online. Tapi, ingat: Anda harus percaya penuh pada penyedia VPN. VPN komersial populer (NordVPN, SurfShark, dll.) sering dipromosikan, tapi tetap ada risiko. Pilihan terbaik → gunakan VPN kantor atau buat VPN sendiri jika memungkinkan. Kesimpulan Mengamankan akun media sosial itu penting. Dengan: Menggunakan password manager, Mengaktifkan MFA (lebih aman dengan aplikasi autentikasi), Memanfaatkan fitur keamanan platform, Waspada phishing, Mengelola jejak digital, Dan memastikan koneksi internet aman, Anda bisa memperkecil risiko diretas. Jangan lupa, ganti kata sandi secara berkala dan jangan pernah pakai ulang di akun berbeda. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Dalam dunia digital yang semakin terhubung, keamanan jaringan menjadi hal yang sangat penting. Banyak serangan siber berawal dari celah kecil di dalam jaringan perusahaan atau organisasi. Untuk itu, melakukan penilaian kerentanan jaringan (network vulnerability assessment) adalah langkah penting agar kita tahu seberapa kuat pertahanan sistem yang digunakan. Artikel ini akan membahas langkah-langkah mudah untuk melakukan penilaian kerentanan jaringan secara menyeluruh. Apa Itu Penilaian Kerentanan Jaringan? Penilaian kerentanan jaringan adalah proses untuk mencari, mengidentifikasi, dan menganalisis kelemahan dalam jaringan komputer. Hasilnya bisa membantu tim IT atau keamanan untuk memperbaiki celah sebelum dimanfaatkan oleh peretas. Langkah-Langkah Penilaian Kerentanan Jaringan 1. Tentukan Lingkup Penilaian Pertama, tentukan bagian jaringan mana yang ingin diperiksa. Misalnya: server, firewall, router, switch, perangkat IoT, atau aplikasi tertentu. Dengan begitu, penilaian bisa lebih terarah dan efektif. 2. Kumpulkan Informasi Jaringan Kumpulkan data penting tentang jaringan, seperti alamat IP, sistem operasi yang digunakan, aplikasi yang berjalan, dan konfigurasi keamanan. Tahap ini membantu memahami “peta” jaringan sebelum melakukan analisis lebih jauh. 3. Gunakan Alat Pemindai Kerentanan Ada banyak tools yang bisa digunakan untuk menemukan celah keamanan, seperti: Nmap → untuk memindai port dan layanan yang terbuka Nessus → untuk mendeteksi kerentanan umum OpenVAS → solusi open-source untuk analisis kerentanan Tools ini akan memberikan laporan detail mengenai potensi masalah di dalam jaringan. 4. Analisis dan Prioritaskan Hasil Tidak semua kerentanan memiliki tingkat risiko yang sama. Ada yang berbahaya dan harus segera ditangani, ada juga yang hanya berisiko rendah. Buat daftar prioritas berdasarkan dampak dan kemungkinan dieksploitasi oleh penyerang. 5. Perbaiki Kerentanan Setelah tahu titik lemahnya, langkah berikutnya adalah melakukan perbaikan. Misalnya: Update patch sistem operasi dan aplikasi Menutup port yang tidak perlu Mengatur konfigurasi firewall dengan benar Menghapus layanan yang tidak digunakan 6. Lakukan Uji Ulang Setelah perbaikan, lakukan pemindaian ulang untuk memastikan bahwa celah keamanan sudah benar-benar ditutup. 7. Dokumentasikan Hasil Catat seluruh proses, mulai dari temuan, risiko, hingga langkah perbaikan yang dilakukan. Dokumentasi ini penting untuk referensi di masa depan dan untuk memenuhi kebutuhan audit keamanan. Kesimpulan Melakukan penilaian kerentanan jaringan bukan hanya tugas sekali saja, melainkan harus dilakukan secara berkala. Dengan begitu, organisasi bisa selalu selangkah lebih maju dalam melindungi data dan sistem dari ancaman siber. Ingat, mencegah selalu lebih murah dan lebih mudah dibandingkan memperbaiki kerusakan setelah terjadi serangan. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Membaca artikel tentang phishing kadang terasa membosankan, karena banyak yang hanya membahas skenario lama dan tips pencegahan yang itu-itu saja tanpa detail teknis baru. Tapi jangan khawatir, di sini kita akan membahas hal yang lebih menarik! Kali ini, kita akan bahas bagaimana penyerang bisa memanfaatkan salah konfigurasi (misconfiguration) di 7-Zip untuk menonaktifkan fitur Mark of the Web (MOTW), sehingga serangan phishing jadi lebih efektif. Kita juga akan melihat bagaimana fitur Client-Side Attack di Sniper Auto-Exploiter bisa membantu otomatisasi tanpa harus repot membuat reverse shell secara manual. Artikel ini bertujuan edukasi. Jangan mencoba cara ini di luar pengujian keamanan yang sah dan diatur oleh kontrak legal. Kenapa Topik Ini Dibahas? Pada November 2022, Adrian Furtuna, pendiri Pentest-Tools, memperkenalkan fitur baru bernama Client-Side Attack di DefCamp. Phishing sendiri adalah jenis serangan siber yang memanfaatkan email atau komunikasi lain untuk menipu korban agar memberikan data sensitif, seperti password atau informasi keuangan. Biasanya, serangan ini memanfaatkan VBA macro di Microsoft Office. Microsoft sempat memperkenalkan Mark of the Web (MOTW) untuk mengatasi hal ini. MOTW akan memberi peringatan dan memblokir macro ketika file diunduh dari internet. Namun, ternyata ada trik dengan 7-Zip yang bisa “menghapus” MOTW tersebut. Kenapa 7-Zip Jadi Jalur Phishing yang Bagus? 7-Zip adalah software kompresi file populer, gratis, dan mendukung banyak format (.7z, .zip, .rar, dll.). Selain GUI, 7-Zip punya command-line utility (7z) yang fleksibel untuk membuat, menambah, atau mengekstrak arsip. Masalah muncul karena 7-Zip menghapus atribut MOTW ketika file dikompresi dengan password. File dari internet biasanya punya tanda MOTW yang mencegah macro berjalan. Kalau file itu dikompresi dengan 7-Zip menggunakan password, lalu diekstrak lagi, tanda MOTW akan hilang. Artinya, peringatan keamanan di Word, Excel, atau PowerPoint tidak akan muncul. Dengan begitu, file berbahaya bisa terlihat lebih “bersih” dan meningkatkan kemungkinan korban membukanya. Bagaimana Penyerang Bisa Memanfaatkannya? Bayangkan skenario spear-phishing: Anda menemukan email karyawan baru bernama Steve di perusahaan target. Anda spoofing email seolah-olah dari CEO perusahaan. Anda kirim file berbahaya yang sudah diproses dengan 7-Zip agar MOTW hilang. Steve merasa percaya karena emailnya terlihat resmi, lalu membuka file itu. Dalam simulasi kesadaran keamanan, hal ini bisa menunjukkan betapa berbahayanya trik sederhana semacam ini. Demo: Phishing Simulation Dengan Sniper Auto-Exploiter dan fitur Client-Side Attack, pengujian bisa dilakukan lebih mudah. Anda tidak perlu setup reverse shell manual. Sniper juga punya fitur Passive Attack yang membantu menghasilkan laporan jelas untuk simulasi phishing. Selain mempermudah, Sniper bisa mengumpulkan artefak seperti konfigurasi sistem, port terbuka, dan software terinstal. Data ini berguna untuk melukiskan gambaran kerentanan perusahaan dengan lebih meyakinkan. Cara Mencegah Serangan Ini Untuk mencegah skenario phishing yang memanfaatkan salah konfigurasi 7-Zip, ada beberapa langkah penting: Segmentasi Jaringan Batasi ruang gerak malware agar tidak menyebar ke seluruh sistem. Pelatihan Karyawan Edukasi rutin agar karyawan bisa mengenali email mencurigakan, link berbahaya, atau file aneh. Perhatian pada Detail Biasakan mengecek alamat pengirim, domain, tanda MOTW, hingga tata bahasa email. Detail kecil bisa jadi penyelamat besar. Kesimpulan Salah konfigurasi 7-Zip bisa menjadi celah berbahaya dalam serangan phishing. Dengan menghapus Mark of the Web, file berbahaya bisa terlihat aman padahal mengandung macro berbahaya. Organisasi perlu waspada dengan jenis trik ini. Selain itu, langkah-langkah mitigasi seperti segmentasi jaringan, pelatihan karyawan, dan disiplin keamanan detail harus dijalankan. Bagi ethical hacker, fitur baru seperti artefact extraction di Sniper Auto-Exploiter bisa menghemat waktu sekaligus membuat laporan yang lebih jelas untuk menunjukkan risiko nyata. Pada akhirnya, kesadaran + pencegahan teknis = kunci melawan phishing modern. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia , Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!