Cara menjadi Penetration Tester - Baca ni kalau korang study Security

Penetration tester, atau pen tester dalam bahasa ringkas, ni orang yang test sistem komputer atau network, dan cari kelemahan yang boleh diexploit oleh hacker.

Pen tester ni bukan hacker jahat, sebab dia buat kerja ni dengan izin pemilik sistem.

Pen tester ni penting sebab dia boleh bantu tingkatkan keselamatan sistem dan elakkan serangan hacker yang nak curi data atau rosakkan sistem.

Kalau korang minat nak jadi pen tester, ni aku bagi beberapa tips yang boleh korang ikut.

Cara menjadi Penetration Tester - Baca ni kalau korang belajar CyberSecurity

Apa itu Pen Tester

Pen tester ni orang yang pakai skill hacking untuk test sistem komputer atau network, dan cari kelemahan yang boleh diexploit.

Pen tester ni kena ada ilmu tentang macam-macam benda, seperti:

  • Operating system, seperti Windows, Linux, Mac OS, etc.
  • Programming languages, seperti Python, Java, C, etc.
  • Networking protocols, seperti TCP/IP, HTTP, FTP, etc.
  • Web applications, seperti HTML, CSS, JavaScript, PHP, etc.
  • Security tools, seperti Nmap, Metasploit, Wireshark, etc.

Pen tester ni kena ada mindset yang kreatif dan curious, sebab dia kena fikir macam hacker, dan cuba cari cara untuk masuk ke dalam sistem yang dia nak test.

Pen tester ni juga kena ada etika yang baik, sebab dia tak boleh abuse kelemahan yang dia jumpa, atau share dengan orang lain yang tak berkenaan.

Apa yang korang kena tahu

Kalau korang nak jadi pen tester, korang kena tahu beberapa perkara yang penting, seperti:

  • Types of pen testing: ada beberapa jenis pen testing yang korang boleh buat, bergantung pada scope dan objektif korang. Contohnya, ada black boxwhite box, dan grey box pen testing, yang beza pada tahap maklumat yang korang ada pasal sistem yang nak di test. Ada juga internal dan external pen testing, yang beza pada lokasi korang berada semasa buat pen testing. Ada juga web applicationnetworkwirelessmobile, dan social engineering pen testing, yang beza pada target yang korang nak test.
  • Phases of pen testing: ada beberapa fasa yang korang kena lalui semasa buat pen testing, supaya korang boleh buat kerja ni dengan sistematik dan profesional. Contohnya, ada planning and scopingreconnaissancescanning, exploitationpost-exploitation, dan reporting. Setiap fasa ni ada tujuan dan aktiviti yang tersendiri, dan korang kena ikut langkah-langkah yang betul untuk buat pen testing yang berkesan.
  • Ethical and legal issues: ada beberapa isu yang korang kena ambil kira semasa buat pen testing, supaya korang tak melanggar undang-undang atau etika yang ditetapkan. Contohnya, korang kena ada permission dari pemilik sistem yang nak di test, dan korang kena ada contract yang jelas tentang scope, objektif, dan tanggungjawab korang. Korang juga kena ada non-disclosure agreement (NDA) yang melindungi maklumat rahsia yang korang jumpa semasa buat pen testing. Korang juga kena ada backup dan recovery plan yang boleh pulihkan sistem yang korang test kalau ada apa-apa masalah.
Cara menjadi Penetration Tester - Baca ni kalau korang belajar CyberSecurity

Kat mana nak belajar

Kalau korang nak jadi pen tester, korang kena belajar banyak benda, sebab pen testing ni bidang yang luas dan mencabar.

Ada beberapa cara yang korang boleh belajar, seperti:

  • Baca buku atau ebook pasal pen testing, seperti The Hacker PlaybookPenetration Testing: A Hands-On Introduction to Hacking, atau The Web Application Hacker’s Handbook. Buku atau ebook ni boleh bagi korang ilmu asas dan praktikal pasal pen testing, dan korang boleh baca bila-bila masa yang korang suka.
  • Tonton video atau kursus online pasal pen testing, seperti CybraryUdemy, atau YouTube. Video atau kursus online ni boleh bagi korang ilmu visual dan interaktif pasal pen testing, dan korang boleh tonton dengan mudah kat komputer atau telefon korang.
  • Sertai komuniti atau forum pasal pen testing, seperti Hack The BoxVulnHub, atau Reddit. Komuniti atau forum ni boleh bagi korang ilmu sosial dan komunikatif pasal pen testing, dan korang boleh bersosial dengan pen tester lain, tanya soalan, atau share pengalaman.
  • Ambil sijil atau peperiksaan pasal pen testing, seperti CEHOSCP, atau GPEN. Sijil atau peperiksaan ni boleh bagi korang ilmu formal dan profesional pasal pen testing, dan korang boleh tunjuk kelayakan korang kat majikan atau pelanggan korang.

Korang tak perlu belajar semua benda ni, tapi korang boleh pilih yang mana yang sesuai dengan minat dan kemampuan korang.

Yang penting, korang kena praktis dan eksperimen dengan apa yang korang belajar, sebab pen testing ni bukan teori je, tapi kena ada skill praktikal juga.

Kat mana platform atau tools yang korang boleh guna

Kalau korang nak buat pen testing, korang kena ada platform atau tools yang korang boleh guna untuk test sistem komputer atau network.

Ada beberapa platform atau tools yang popular dan berguna, seperti:

  • Kali Linux: ni operating system yang spesial untuk pen testing, sebab dia ada banyak tools yang korang boleh guna, seperti Nmap, Metasploit, Wireshark, etc. Korang boleh install Kali Linux kat komputer korang, atau guna kat virtual machine.
  • Hack The Box: ni platform online yang korang boleh guna untuk test skill pen testing korang, sebab dia ada banyak sistem atau network yang korang boleh cuba hack masuk, dan dapat point atau badge. Korang boleh belajar banyak benda kat sini, dan juga bersosial dengan pen tester lain.
  • Burp Suite: ni tool yang korang boleh guna untuk test web applications, sebab dia boleh intercept, modify, atau replay HTTP requests atau responses. Korang boleh guna tool ni untuk cari kelemahan kat web applications, seperti SQL injection, XSS, CSRF, etc.
  • OWASP ZAP: ni tool yang korang boleh guna untuk test web applications juga, sebab dia boleh scan, spider, atau fuzz web applications. Korang boleh guna tool ni untuk cari kelemahan kat web applications, seperti broken authentication, insecure deserialization, sensitive data exposure, etc.
  • SQLmap: ni tool yang korang boleh guna untuk test SQL injection, sebab dia boleh automate proses untuk detect dan exploit SQL injection. Korang boleh guna tool ni untuk cari kelemahan kat web applications yang guna database, seperti MySQL, Oracle, PostgreSQL, etc.

Korang boleh guna platform atau tools ni untuk buat pen testing, tapi korang kena ingat, jangan guna kat sistem atau network yang tak ada izin, sebab tu melanggar undang-undang, dan korang boleh kena tangkap.

Guna kat sistem atau network yang korang ada izin je, atau yang memang untuk tujuan pen testing.

Cara menjadi Penetration Tester - Baca ni kalau korang belajar CyberSecurity

Kesimpulan

Pen tester ni kerja yang best dan mencabar, sebab korang boleh belajar banyak benda, dan bantu tingkatkan keselamatan sistem atau network.

Kalau korang nak jadi pen tester, korang kena ada ilmu, skill, mindset, etika, dan platform atau tools yang sesuai.

Korang boleh belajar dari banyak sumber, dan praktis dengan apa yang korang belajar.

Korang boleh jadi pen tester yang hebat, kalau korang rajin dan berdedikasi.

Semoga artikel ni bermanfaat untuk korang, dan selamat mencuba! 

Adakah artikel ni membantu?

Report jika artikel ini tidak tepat, bermasalah & perlu dibaiki.

Subscribe Web Hackers

Isi form, confirmkan email korang & korang confirm jadi subscriber kami. 

Related Article..