Cara untuk menjadi seorang Penetration Tester

15 min read

Kalau korang ada minat dalam bidang cybersecurity dan cuba nak jadi Penetration Tester, bermaksud korang dah selangkah kedepan.

Tapi, jalan untuk menjadi seorang PenTester yang terbaik ni bukanlah straight forward. Tak mudah untuk korang belajar sebenarnya tapi ada beberapa benda yang korang perlu tahu dan praktikkan. So, mari jom deep dive ke dalamnya.

Fahamkan dulu dengan jelas apa tu Penetration Testing

Sebelum kita deep dive ke dalam dunia Penetration Testing, atau lebih santai kita sebut sebagai pen-testing, penting untuk korang faham betul apa benda sebenarnya Pen Testing ni.

Imagine korang sebagai doktor pakar bedah, tapi korang bukan bedah manusia, korang ‘bedah’ sistem komputer.

Tugas korang ialah melakukan ujian ke atas sebuah sistem atau network, dengan tujuan mencari “kelemahan” atau “penyakit” dalam sistem. Bila korang dah jumpa, korang bawa keluar & repair apa yang patut supaya benda tu tak ada lagi dalam sistem.

So ini lah kerja Pen Tester.

Bukan tentang hacking semata-mata

First off, pen-testing ni bukan tentang hacking yang mencuri data semata mata.

Tapi ini tentang cara korang menggunakan kemahiran dan teknik hacking secara etikal untuk membantu organisasi memperkuatkan level security dalam sistem diorang.

Korang akan menggunakan pelbagai teknik untuk ‘attack’ sistem, sama seperti apa yang akan dilakukan oleh seorang hacker yang berniat jahat, tapi korang buat semua ni hanya dengan jalan yang betul dan mengikut undang undang yang dah ditetapkan.

Tujuan utama Penetration Testing

Objective utama dari pen-testing adalah untuk identify dan memperbaiki kelemahan dalam sistem sebelum ia ditemui dan dieksploitasi oleh attackers.

Benda ni termasuklah vulnerabilities dalam applications, networks, dan kadang-kadang juga perilaku manusia tu sendiri yang boleh menyebabkan security breaches.

So dengan cara ini, organisasi dapat mengurangkan risiko cybersecurity incidents yang boleh menyebabkan kehilangan data data penting, reputasi, dan kerugian duit dalam jumlah yang besar.

Cara kerja Penetration Testing

Proses pen-testing biasanya dimulakan dengan perancangan dan reconnaissance, di mana korang sebagai PenTester akan mengumpulkan dulu segala data yang penting tentang target.

Ini termasuklah public databases, configurations files, dan even employee details.

Lepas tu, korang akan move ke phase scanning, di mana korang akan menggunakan tools seperti Nmap atau Nessus untuk mengidentifikasi open ports dan services yang running pada target.

Langkah seterusnya adalah exploitation, di mana korang akan cuba untuk exploit vulnerabilities yang korang dah jumpa.

Ini adalah part di mana korang ‘attack’ pada sistem, tapi ingat, semua ini dilakukan dengan cara yang etikal dan tujuan korang hanya lah untuk improve sistem tu kearah yang lebih baik.

Lepas korang dah buat exploit, korang akan buat post-exploitation untuk mengumpulkan data dan menilai sejauh mana damage atau access yang korang dah buat.

Akhirnya, proses pen-testing ni akan ditutup dengan REPORT, di mana korang akan menyediakan details tentang vulnerabilities yang korang jumpa, cara korang attack, dan cara untuk memperbaiki kelemahan yang ada pada sistem tu.

So dah fahamkan cara kerja Pen Testing ni macam mana?

Kenapa Penetration Testing ni penting?

Zaman digital sekarang ni, security sistem IT benda yang sangat PENTING!

Penetration Testing ni boleh bantu organisasi untuk stay satu langkah di depan hacker dengan cara proactively dengan cara menemukan dan memperbaiki kelemahan sebelum ianya menjadi masalah yang besar.

Ini bukan tentang cara korang melindungi data semata mata, tapi juga tentang memastikan bisnes yang dijalankan sebuah syarikat tu berjalan dengan lancar, memastikan syarikat tu kekal trusted dan memenuhi segala keperluan regulatory compliance.

So, Penetration Testing adalah orang yang tahu bagaimana caranya untuk menjadikan sistem itu lebih kuat dan “kebal” terhadap segala serangan yang dilakukan oleh Hacker.

Benda ni of course, bukan tugas yang mudah.

Mantapkan asas IT korang dulu

Nak masuk dalam dunia pen-testing ni, korang kena make sure yang korang punya asas dalam IT tu solid. Kena tahu pasal networking, systems, programming, dan lain-lain.

Benda ni penting sebab tools dan teknik yang korang akan guna dalam pen-testing banyak bergantung pada pengetahuan asas ni.

Jadi, kalau rasa area tertentu tu korang kurang, jangan malu untuk study & improve. Banyak resources online, dari YouTube sampai ke kursus-kursus free, semua ada.

Tools yang biasa digunakan PenTester

Dalam dunia pen-testing, ada beberapa tools yang famous dan powerful yang korang kena tahu macam Kali Linux, Metasploit, Nmap, dan Wireshark.

Each tool ni ada kegunaan dan feature yang tersendiri, dari scan network sampai ke exploit vulnerabilities. Kalau korang familiar dengan tools ni, akan buatkan kerja korang sebagai PenTester jadi lebih smooth.

Ini antara tools yang powerful dan banyak digunakan oleh PenTester profesional.

Kali linux

Kali Linux adalah operating system yang direka khas untuk penetration testing. Kali Linux datang dengan beratus-ratus tools yang sudah pre-installed, menjadikan Kali Linux ni pilihan utama untuk kebanyakan PenTester.

Feature Kali Linux ni bukan biasa biasa sebab tools dari Kali Linux ni boleh buat network scanning hingga ke password cracking, semuanya dah ada dalam Kali Linux.

Metasploit framework

Metasploit adalah platform yang sangat famous untuk menguji, upgrade, improve dan boleh buat exploits. Platform ini menyediakan database yang besar untuk known exploits, memudahkan korang untuk mencari dan menggunakan exploits pada vulnerabilities yang dah ditemukan.

Nmap

Nmap, atau Network Mapper, adalah tool scanning network yang sangat power. Benda ni digunakan untuk mengenal pasti devices yang terhubung ke network, port apa yang open, dan apa services yang dijalankan pada devices tu. Nmap sangat berguna untuk reconnaissance phase dalam pen-testing.

Wireshark

Wireshark adalah network protocol analyzer yang membolehkan korang untuk mengintip apa yang berlaku dalam network korang secara real-time. Tool ni sangat berguna untuk korang memahami traffic network dan mencari data yang mungkin korang terlepas pandang.

Burp suite

Burp Suite adalah tool untuk testing web application security. Tools ni membolehkan korang untuk melakukan scanning terhadap web applications untuk mencari vulnerabilities.

Dengan features macam spidering, scanning, dan intruder tool, Burp Suite ni memang berguna untuk web application penetration testing. So kalau korang nak buat testing web, gunakan tools ni.

Nessus

Nessus adalah salah satu vulnerability scanner yang paling banyak digunakan. Tools ni dapat mengenal pasti vulnerabilities macam weaknesses dalam configurations, missing updates, dan potential risks dalam network atau systems yang korang test.

SQLmap

SQLmap adalah tool yang automatik untuk testing SQL injection vulnerabilities dalam web applications.

Biasanya PenTester advanced je yang gunakan tools ni. Sebab tool ni sangat powerful dalam mengidentifikasi database, tables, dan data sensitif yang mungkin boleh diexploit melalui SQL injection.

Setiap tool ini ada feature dan power dia yang tersendiri dalam proses penetration testing ni.

Dengan pengetahuan dan kemahiran dalam menggunakan tools ini akan membantu korang dalam kerjaya sebagai seorang Penetration Tester.

Kat mana nak belajar?

Dalam journey untuk menjadi seorang Penetration Tester, salah satu step paling penting adalah belajar dan upgrade skill pada setiap masa.

Tapi, kat mana korang boleh dapat ilmu-ilmu berharga ni? Jangan risau, aku senaraikan tempat dan cara untuk korang start.

Online Courses

Ilmu IT ni korang boleh dapatkan dari sumber sumber yang dah famous dan mantap macam platfom Udemy, Coursera, dan Cybrary yang menawarkan pelbagai kursus cater untuk semua level, dari beginner sampailah ke advanced.

Kursus ini semua cover wide range of topics, dari fundamentals of cybersecurity sampailah kepada teknik-teknik penetration testing yang specific.

Kelebihan belajar online ialah korang boleh belajar ikut masa sendiri dan ulang mana-mana bahagian yang korang rasa kurang jelas.

Bootcamps

Untuk korang yang prefer structured learning dan interaction dengan instructors dan fellow students, bootcamps could be a great option.

Bootcamps ni usually intense dan require commitment dalam jangka masa yang pendek, tapi outcome dia sangat rewarding. Korang akan dapat hands-on experience dan access kepada resources yang mungkin tak ada jika belajar sendiri.

Certifications

Mengejar certifications juga cara yang bagus untuk korang belajar dan sekaligus boleh prove korang punya skills.

Certifications macam Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP), dan CompTIA Security+ sangat recognized dalam industry.

Banyak dari certifications ni require korang untuk pass exams yang challenging, tapi banyak resources dan kursus preparation available untuk bantu korang succeed.

Join Community and Forums

Joining communities and forums macam GitHub, Reddit, atau Discord channels yang focus on cybersecurity and penetration testing sangat berharga.

Dalam communities ni, korang boleh share experiences, ask questions, dan sometimes, ada professional yang offer mentoring atau guidance.

Plus, banyak dari communities ni yang share resources, tools, dan tips yang berguna. So korang tinggal nak baca dan cari je point point penting.

Hands-on Practice

Tak suka baca panjang panjang? Try skill korang terus pada platforms macam Hack The Box, TryHackMe, dan OverTheWire yang offer real-world scenarios dan challenges sudah designed untuk improve korang punya hacking skills.

Demand kerja untuk PenTester

And yes, demand untuk skilled PenTesters memang high.

Semakin banyak syarikat sedar tentang betapa pentingnya cybersecurity, jadi demand untuk kerja dalam bidang ni terus meningkat dari tahun ke tahun.

Plus, skills pen-testing ni universal. Korang boleh dapat job almost anywhere in the world.

So, kalau korang nak career yang challenging tapi rewarding, inilah dia.

So, itu dia beberapa steps dan tips untuk korang yang nak jadi Penetration Tester. Ingat, jadi PenTester bukan just tentang hacking semata mata.

It’s about protecting, securing, and constantly learning. Always keep yourself updated dengan latest security trends dan never stop learning.

Good luck, guys! You got this.

Adakah artikel ni membantu?

Report jika artikel ini tidak tepat, bermasalah & perlu dibaiki.

Portal Hackers

Financial