Aplikasi Web, Mobile, dan API
Pengujian mengacu pada OWASP Top 10, mencakup:
- SQL Injection
- Cross-Site Scripting (XSS)
- Broken Authentication
- IDOR (Insecure Direct Object Reference)
- Business Logic Flaws
Untuk API (REST & GraphQL), pengujian mencakup autentikasi, otorisasi, dan potensi abuse seperti mass assignment.
Infrastruktur Jaringan, Server & Cloud
- Port terbuka & layanan rentan
- Misconfiguration server & OS
- Cloud security (AWS, GCP, Azure)
- IAM & credential exposure
Simulasi Eksploitasi
Kami melakukan eksploitasi manual untuk membuktikan dampak nyata:
- Privilege escalation
- Persistence mechanism
- Data exfiltration
- Chain attack simulation
Laporan & Rekomendasi
- Executive summary (non-teknis)
- Technical report detail
- CVSS v3.1 severity rating
- Proof of Concept (PoC)
- Rekomendasi mitigasi praktis
Pendekatan Pengujian
- Black Box – Simulasi attacker eksternal tanpa akses
- Grey Box – Simulasi insider dengan akses terbatas
- White Box – Pengujian penuh dengan akses source code
Alur Engagement
- Scoping & RoE – Penentuan target & batasan
- Reconnaissance – Mapping attack surface
- Vulnerability Assessment – Identifikasi celah
- Exploitation – Validasi kerentanan
- Reporting – Laporan lengkap
- Remediation Review – Verifikasi perbaikan
