Beranda / vapt

VA dan PenTest, Mau mana dulu?

Mari kita bahas Vulnerability Assessment (VA) dan Penetration Testing (Pentest) dengan 14 pendekatan belajar yang mendalam namun sederhana, agar kamu benar-benar paham, dari anak-anak sampai ke level praktisi:



1. Explain Like I'm 5 (Jelaskan seperti ke anak 5 tahun)

Bayangkan kamu punya rumah. Vulnerability Assessment itu seperti mengecek apakah ada jendela yang lupa dikunci. Penetration Testing itu seperti pura-pura jadi maling dan mencoba masuk lewat jendela itu untuk melihat apakah kamu benar-benar bisa dimasuki atau tidak.

2. Visualize the Process (Visualisasikan prosesnya)

[ Scan ][ Temukan celah (VA) ][ Uji celah (Pentest) ][ Laporkan & Perbaiki ]

  • VA: Pakai alat otomatis (misalnya OpenVAS) untuk mendeteksi “lubang” keamanan.

  • Pentest: Manual atau semi-otomatis, benar-benar coba "masuk" dari lubang tersebut.

3. Break it into Chunks (Pecah menjadi bagian kecil)

  • 1. Planning: Tentukan scope (apakah website, server, atau aplikasi).

  • 2. Scanning (VA): Gunakan tools untuk mencari celah.

  • 3. Exploitation (Pentest): Coba manfaatkan celah itu.

  • 4. Reporting: Catat semuanya dan berikan saran perbaikan.

4. Find the Patterns (Temukan polanya)

  • VA = luas tapi dangkal (semua dilihat, tapi tidak diotak-atik)

  • Pentest = sempit tapi dalam (fokus ke celah tertentu dan diuji benar-benar)

  • VA dulu, baru Pentest. Jangan dibalik.

5. Use Analogies (Gunakan analogi)

VA = Pemeriksaan kesehatan umum.
Pentest = Operasi kecil untuk tahu apakah masalah bisa jadi serius.
Kamu tidak langsung dioperasi tanpa periksa dulu, kan?

6. Break Myths (Patahkan mitos)

❌ "Pentest dan VA itu sama"
Tidak! VA hanya memindai dan menemukan. Pentest mencoba membuktikan celah itu bisa dimanfaatkan atau tidak.

7. Challenge It (Uji konsepnya)

  • Kenapa tidak langsung pentest saja tanpa VA?
    Karena terlalu mahal dan tidak efisien. VA membantu menyaring mana yang perlu diuji lebih dalam.

8. Prioritize Learning (Prioritaskan pembelajaran)

Pelajari:

  • Cara kerja protokol jaringan (TCP/IP, HTTP).

  • Tools seperti Nmap, OpenVAS (untuk VA).

  • Kali Linux, Metasploit, Burp Suite (untuk Pentest).

  • Etika dan hukum hacking (penting!).

9. Find the Gaps (Cari kekurangannya)

  • VA bisa banyak false positive (terlihat seperti celah tapi sebenarnya tidak).

  • Pentest butuh waktu dan keahlian tinggi.

  • Kombinasi keduanya penting, tidak bisa hanya salah satu.

10. Relate to Real Life (Hubungkan dengan kehidupan nyata)

VA = CCTV yang mengawasi seluruh rumah.
Pentest = Satpam yang mencoba menyelinap masuk untuk uji keamanan.

11. Teach It Back (Ajarkan kembali)

Coba ajarkan ke teman:

“VA itu mencari semua kemungkinan pintu masuk. Pentest itu mencoba membobol pintu yang ditemukan untuk lihat apakah bisa dimasuki.”

Kalau kamu bisa menjelaskan dengan simpel, berarti kamu sudah paham.

12. Ask the Critical 'Why' (Tanya 'kenapa')

  • Kenapa perlu dilakukan VA dan Pentest?
    Karena dunia digital penuh serangan. Lebih baik kita tahu kelemahan sendiri sebelum orang jahat menemukannya.

13. Simulate or Practice (Simulasikan atau praktikkan)

  • Buat lab sendiri pakai VirtualBox.

  • Install Metasploitable (target yang punya banyak celah).

  • Gunakan OpenVAS untuk VA.

  • Gunakan Metasploit atau Burp Suite untuk pentest.

  • Dokumentasikan setiap langkah dan hasil.

14. Turn It Into a Story (Jadikan cerita)

Suatu hari, ada kastil yang megah. Raja menyuruh penjaga untuk mencari titik lemah tembok (VA). Setelah ditemukan, sang raja memanggil pendekar untuk mencoba masuk lewat titik itu (Pentest). Setelah tahu kelemahan, mereka memperkuat benteng. Akhirnya kastil aman dari para musuh.