Tools yang boleh digunakan untuk Penetration Tester

Pen testing ni kerja yang mencabar dan menarik, sebab korang boleh test sistem komputer atau network, dan cari kelemahan yang boleh diexploit oleh hacker.

Tapi untuk buat pen testing ni, korang kena ada tools yang sesuai dan berguna, sebab tools ni boleh bantu korang buat kerja ni dengan lebih mudah dan efektif.

Tools ni ada macam-macam jenis dan fungsi, bergantung pada apa yang korang nak test. Ada tools yang boleh scan, ada tools yang boleh exploit, ada tools yang boleh intercept, dan macam-macam lagi.

Artikel ni akan senaraikan beberapa tools yang popular dan berguna untuk buat pen testing, dan terangkan apa yang tools ni boleh buat.

Tools untuk scan

Tools untuk scan ni boleh bantu korang cari maklumat pasal sistem atau network yang korang nak test, macam IP address, port, service, version, OS, dan sebagainya.

Tools ni boleh bagi korang gambaran tentang target korang, dan juga cari kelemahan yang boleh korang exploit.

Contoh tools untuk scan ni ialah:

  • Nmap: ni tool yang paling famous untuk scan network, sebab dia boleh scan macam-macam benda, macam port, service, version, OS, firewall, dan sebagainya. Korang boleh guna Nmap untuk cari target yang hidup, target yang buka port tertentu, target yang guna service tertentu, dan macam-macam lagi. Nmap ni boleh guna kat command line, atau kat GUI yang dipanggil Zenmap.
  • Nessus: ni tool yang boleh scan vulnerability, sebab dia boleh detect kelemahan yang ada kat target korang, macam misconfiguration, outdated software, default password, dan sebagainya. Korang boleh guna Nessus untuk cari vulnerability yang boleh korang exploit, dan juga dapat report yang lengkap dan cantik. Nessus ni boleh guna kat web browser, atau kat GUI yang dipanggil Nessus Professional.
  • Nikto: ni tool yang boleh scan web server, sebab dia boleh detect kelemahan yang ada kat web server korang, macam file atau folder yang terdedah, error message yang terlalu banyak maklumat, header yang tak selamat, dan sebagainya. Korang boleh guna Nikto untuk cari kelemahan kat web server korang, dan juga dapat output yang mudah dan ringkas. Nikto ni boleh guna kat command line je.

Tools untuk exploit

Tools untuk exploit ni boleh bantu korang masuk ke dalam sistem atau network yang korang nak test, dengan guna kelemahan yang korang jumpa.

Tools ni boleh bagi korang akses ke target korang, dan juga boleh buat macam-macam benda kat target korang, macam run command, upload file, download file, dan sebagainya.

Contoh tools untuk exploit ni ialah:

  • Metasploit: ni tool yang paling famous untuk exploit, sebab dia ada banyak module yang korang boleh guna, macam exploit, payload, auxiliary, post, dan sebagainya. Korang boleh guna Metasploit untuk exploit macam-macam target, macam web application, network, wireless, mobile, dan sebagainya. Metasploit ni boleh guna kat command line, atau kat GUI yang dipanggil Armitage.
  • SQLmap: ni tool yang boleh exploit SQL injection, sebab dia boleh automate proses untuk detect dan exploit SQL injection. Korang boleh guna SQLmap untuk exploit web application yang guna database, macam MySQL, Oracle, PostgreSQL, dan sebagainya. Korang boleh guna SQLmap untuk run SQL command, dump data, upload file, dan sebagainya. SQLmap ni boleh guna kat command line je.
  • Hydra: ni tool yang boleh exploit brute force, sebab dia boleh cuba banyak kombinasi username dan password untuk masuk ke dalam target korang. Korang boleh guna Hydra untuk exploit macam-macam service, macam SSH, FTP, Telnet, HTTP, dan sebagainya. Korang boleh guna Hydra untuk dapat akses ke target korang, kalau target korang guna password yang lemah. Hydra ni boleh guna kat command line, atau kat GUI yang dipanggil THC-Hydra.

Tools untuk intercept

Tools untuk intercept ni boleh bantu korang tangkap dan ubah traffic yang lalu kat network yang korang nak test, dengan guna teknik yang dipanggil man-in-the-middle attack.

Tools ni boleh bagi korang maklumat yang sensitif, macam username, password, cookie, session, dan sebagainya.

Tools ni juga boleh bagi korang kuasa untuk ubah traffic tu, macam tambah, tolak, atau tukar data. Contoh tools untuk intercept ni ialah:

  • Wireshark: ni tool yang paling famous untuk intercept, sebab dia boleh tangkap dan analisis traffic yang lalu kat network, dengan guna teknik yang dipanggil packet sniffing. Korang boleh guna Wireshark untuk intercept macam-macam protocol, macam TCP, UDP, HTTP, FTP, dan sebagainya. Korang boleh guna Wireshark untuk dapat maklumat yang sensitif, macam username, password, cookie, session, dan sebagainya. Wireshark ni boleh guna kat GUI je.
  • Burp Suite: ni tool yang boleh intercept dan modify HTTP requests atau responses, dengan guna teknik yang dipanggil proxy. Korang boleh guna Burp Suite untuk intercept web application, dengan set browser korang supaya lalu kat Burp Suite. Korang boleh guna Burp Suite untuk dapat maklumat yang sensitif, macam username, password, cookie, session, dan sebagainya. Korang juga boleh guna Burp Suite untuk ubah HTTP requests atau responses, macam tambah, tolak, atau tukar data. Burp Suite ni boleh guna kat GUI je.
  • Ettercap: ni tool yang boleh intercept dan modify traffic yang lalu kat network, dengan guna teknik yang dipanggil ARP spoofing. Korang boleh guna Ettercap untuk intercept network, dengan set target korang supaya lalu kat komputer korang. Korang boleh guna Ettercap untuk dapat maklumat yang sensitif, macam username, password, cookie, session, dan sebagainya. Korang juga boleh guna Ettercap untuk ubah traffic tu, macam tambah, tolak, atau tukar data. Ettercap ni boleh guna kat command line, atau kat GUI.

Kesimpulan

Tools ni sangat berguna untuk buat pen testing, sebab korang boleh scan, exploit, dan intercept sistem atau network yang korang nak test, dan cari kelemahan yang boleh diexploit oleh hacker.

Korang boleh guna tools ni untuk buat pen testing, tapi korang kena ingat, jangan guna kat sistem atau network yang tak ada izin, sebab tu melanggar undang-undang, dan korang boleh kena tangkap.

Guna kat sistem atau network yang korang ada izin je, atau yang memang untuk tujuan pen testing. Semoga artikel ni bermanfaat untuk korang, dan selamat mencuba! 

Adakah artikel ni membantu?

Report jika artikel ini tidak tepat, bermasalah & perlu dibaiki.

Subscribe Web Hackers

Isi form, confirmkan email korang & korang confirm jadi subscriber kami. 

Related Article..