Apa itu Black Box Penetration Testing ?
Black box penetration testing, secara umum adalah istilah untuk pengetesan keamanan suatu jaringan atau situs web. Dengan cara jaringan atau situs tersebut di simulasikan seolah-olah di hack oleh si pengetes.
Sebagai Informasi, sebenarnya ada berbagai “warna lain” yang terkait dalam penyebutan istilah untuk tes ini selain hitam (black). Jika anda mencari lebih banyak informasi terkait hal ini, anda akan menemukan istilah White Box & Grey Box. Lalu anda juga akan menemukan istilah Blue Team, Red Team, Purple Team, dll. Warna-warna ini disebutkan untuk membedakan jobdesk dari tim yang melakukan tes penetrasi tersebut. Sepertinya para pengetes ini memang sengaja memberikan istilah dalam bentuk warna agar mungkin terkesan lebih ceria.
Black Box, White Box, Grey Box Testing
Pengetesan di klasifikasikan berdasarkan seberapa jauh pengetahuan internal yang diberikan ke si pengetes tentang situs yang akan dites, juga berdasarkan seberapa tinggi akses yang diizinkan ke si pengetes untuk memasuki situs tersebut. Pengetesan yang termasuk dalam istilah Black Box adalah yang diberi pengetahuan internal paling sedikit dan akses yang paling terbatas ke situs yang akan dites. Pengetesan Gray Box adalah yang diberi pengetahuan dan akses yang lebih tinggi, dan White Box adalah yang diberi pengetahuan internal paling lengkap dan akses paling tinggi ke situs yang dites.
Black Box Testing
Dalam tes ini, karena tidak diberi banyak pengetahuan internal dan akses ke situs. Pengetes seolah-olah hanya sebagai Hacker biasa. Dia hanya tahu nama situs, dan mencoba-coba sendiri mencari info yang lebih dalam untuk menemukan celah yang bisa diretas di situs tersebut.
Ini berarti pengetesan Black Box sangat bergantung kepada analisis dari program dan sistem yang digunakan untuk penetrasi. Pengetes harus terbiasa menggunakan tool penetrasi seperti alat pemindaian bug otomatis, dan harus punya metodologi tertentu untuk memetakan sistem situs secara manual berdasarkan pengamatan.
Pengetahuan yang terbatas yang diberikan ke pengetes, membuat
Black Box Testing ini menjadi metode pengetesan yang paling cepat. Karena durasi pengetesan sangat bergantung pada kemampuan si pengetes dalam mengamati, memetakan, dan menemukan celah pada situs yang dites. Jika si pengetes tidak mampu menemukan celah maka situs dianggap bagus dan pengetesan selesai.
Tentu saja ini sekaligus menjadi kelemahan dari pengetesan dengan metode ini. Karena bisa jadi sebenarnya banyak celah di situs tersebut hanya saja tidak bisa ditemukan oleh pengetes, dengan kata lain masalah belum terselesaikan. Karena itu harus dilakukan pengetesan lebih lanjut, yaitu Gray Box Testing.
Gray Box Testing
Ini adalah tahap selanjutnya setelah Black Box Testing. Jika pada Black Box Testing si pengetes bersikap seperti pihak luar yang tidak tahu apa-apa tentang situs yang dites. Maka pada tahap ini si pengetes diberikan akses sebagai user, dan informasi tentang struktur jaringan internal dan potensi akses ke akun lain.
Tujuan dari Gray Box Testing ini adalah untuk lebih memberikan penilaian keamanan jaringan yang lebih fokus dan efisien dari Black Box Testing.
Dengan keadaan sudah mengetahui informasi struktur jaringan akses ke akun situs yang di tes, si pengetes bisa langsung memfokuskan perhatian nya dalam mengamati celah keamanan atau kekurangan yang bisa diperbaiki dari struktur tersebut. Daripada menghabiskan waktu untuk mencari info tsb sendiri dari awal.
White Box Testing
Di tahap ini, pengetes diberikan akses penuh (full access) ke akun situs, informasi struktur jaringan, dokumentasi, semuanya.
Karena sudah diberi full access , maka tantangan utama dari White Box Testing adalah meneliti, memilah-milah semua data yang diterima tersebut dan melokasikan celah pada tiap titik yang dianggap berpotensi di hack.
Ini membuat metode White Box Testing memakan waktu paling lama dibanding dua metode diatas.
White Box penetration Testing memberikan penilaian yang paling komperhensif terhadap kerentanan internal dan eksternal dari sebuah situs. Menjadikan nya metode terbaik untuk penetration testing.
Namun, pengetahuan si pengetes terhadap seluruh informasi, kadang menjadikan perilaku pengetesan agak bias. Karena si pengetes seolah-olah jadi seperti pihak internal (developer), bukan pihak luar yang mencoba menyerang seperti pada metode Black Box dan Gray Box..