Dokumentasi<Sebelumnya | Konten | Selanjutnya>
11.2.4. Penilaian Aplikasi
Sementara sebagian besar penilaian memiliki cakupan yang luas, penilaian aplikasi adalah spesialisasi yang secara sempit berfokus pada satu aplikasi. Penilaian semacam ini menjadi lebih umum karena kompleksitas aplikasi mission-critical yang digunakan organisasi, banyak di antaranya dibangun sendiri. Penilaian aplikasi biasanya ditambahkan ke penilaian yang lebih luas, sesuai kebutuhan. Aplikasi yang dapat dinilai dengan cara ini termasuk, namun tidak terbatas pada:
• Aplikasi web: Permukaan serangan yang paling umum menghadap ke luar, aplikasi web menjadi target yang bagus hanya karena mereka dapat diakses. Seringkali, penilaian standar akan menemukan masalah dasar dalam aplikasi web, namun tinjauan yang lebih terfokus seringkali membutuhkan waktu untuk mengidentifikasi masalah yang berkaitan dengan alur kerja aplikasi. NS kali-linux-web metapackage memiliki sejumlah alat untuk membantu penilaian ini.
• Aplikasi desktop yang dikompilasi: Perangkat lunak server bukan satu-satunya target; aplikasi desktop juga merupakan permukaan serangan yang luar biasa. Di tahun-tahun sebelumnya, banyak aplikasi desktop seperti
21http://docs.kali.org/kali-dojo/02-mastering-live-build 22https://www.offensive-security.com/kali-linux/kali-rolling-iso-of-doom/ 23http://docs.kali.org/development/live-build-a-custom-kali-iso 24https://www.offensive-security.com/kali-linux/kali-linux-recipes/
Pembaca PDF atau program video berbasis web sangat ditargetkan, memaksa mereka untuk matang. Namun, masih ada sejumlah besar aplikasi desktop yang memiliki banyak kerentanan jika ditinjau dengan benar.
• Aplikasi seluler: Seiring dengan semakin populernya perangkat seluler, aplikasi seluler akan menjadi permukaan serangan standar dalam banyak penilaian. Ini adalah target yang bergerak cepat dan metodologi masih berkembang di bidang ini, yang mengarah pada perkembangan baru hampir setiap minggu. Alat yang terkait dengan analisis aplikasi seluler dapat ditemukan di Reverse Engineering kategori menu.
Penilaian aplikasi dapat dilakukan dengan berbagai cara yang berbeda. Sebagai contoh sederhana, alat otomatis khusus aplikasi dapat dijalankan terhadap aplikasi dalam upaya untuk mengidentifikasi potensi masalah. Alat-alat ini akan menggunakan logika khusus aplikasi dalam upaya untuk mengidentifikasi masalah yang tidak diketahui daripada hanya bergantung pada sekumpulan tanda tangan yang diketahui. Alat-alat ini harus memiliki pemahaman bawaan tentang perilaku aplikasi. Contoh umum dari ini adalah pemindai kerentanan aplikasi web seperti Burp Suite25, diarahkan ke aplikasi yang pertama kali mengidentifikasi berbagai bidang masukan dan kemudian mengirimkan serangan injeksi SQL umum ke bidang ini sambil memantau respons aplikasi untuk indikasi serangan yang berhasil.
Dalam skenario yang lebih kompleks, penilaian aplikasi dapat dilakukan secara interaktif baik dalam a
kotak hitam atau kotak putih cara.
• Penilaian Kotak Hitam: Alat (atau penilai) berinteraksi dengan aplikasi tanpa pengetahuan atau akses khusus selain dari pengguna standar. Misalnya, dalam kasus aplikasi web, penilai hanya dapat mengakses fungsi dan fitur yang tersedia bagi pengguna yang belum masuk ke sistem. Setiap akun pengguna yang digunakan akan menjadi akun di mana pengguna umum dapat mendaftarkan akun sendiri. Ini akan mencegah penyerang untuk dapat meninjau fungsionalitas apa pun yang hanya tersedia untuk pengguna yang perlu dibuat oleh administrator.
• Penilaian Kotak Putih: Alat (atau penilai) sering kali memiliki akses penuh ke kode sumber, akses administratif ke platform yang menjalankan aplikasi, dan sebagainya. Ini memastikan bahwa tinjauan lengkap dan komprehensif dari semua fungsionalitas aplikasi selesai, di mana pun fungsionalitas itu berada dalam aplikasi. Trade-off dengan ini adalah bahwa penilaian sama sekali bukan simulasi aktivitas jahat yang sebenarnya.
Jelas ada nuansa abu-abu di antaranya. Biasanya, faktor penentu adalah tujuan penilaian. Jika tujuannya adalah untuk mengidentifikasi apa yang akan terjadi jika aplikasi berada di bawah serangan eksternal yang terfokus, penilaian kotak hitam kemungkinan akan menjadi yang terbaik. Jika tujuannya adalah untuk mengidentifikasi dan menghilangkan sebanyak mungkin masalah keamanan dalam periode waktu yang relatif singkat, pendekatan kotak putih mungkin lebih efisien.
25https://portswigger.net/burp/
Dalam kasus lain, pendekatan hibrida dapat diambil di mana penilai tidak memiliki akses penuh ke kode sumber aplikasi dari platform yang menjalankan aplikasi, tetapi akun pengguna disediakan oleh administrator untuk memungkinkan akses ke fungsionalitas aplikasi sebanyak mungkin.
Kali adalah platform yang ideal untuk segala macam penilaian aplikasi. Pada penginstalan default, berbagai pemindai khusus aplikasi yang berbeda tersedia. Untuk penilaian lebih lanjut, tersedia berbagai alat, editor sumber, dan lingkungan skrip. Anda mungkin menemukan Aplikasi Web26 dan Rekayasa Terbalik27 bagian dari Alat Kali28 situs web membantu.