Whistleblower
Sep 6, 2018 · 3 min read

Calculator Penyet-er (Pentester) Indonesia

To the point lah yah

Jadi nih kalo ada project punya 20 link yang total semua inputnya 50 (gak termasuk header), cara ngitung waktu kerja penyet-er itu kek gini neh:

  1. Penyet-er paling sering kalo pas nguji SQL injection tuh pake SQLmap. SQLmap butuhin waktu per link kira-kira 30 menit kalo make risk 3 & level 3. Jadi total buat semua input itu 1500 menit. Nah, kalo si penyet-er ini ngelakuin testing ke beberapa input sekaligus, gini cara ngitungnya: misal 5 input, jadi waktu yang dipake jadi: 300 menit atau 5 jam!! (ini beneran kata penyet-er nya sendiri yang cuman masukin link trus tidur). Jadi kalo penyet-er ngerjain SQLi kurang dari 5 jam, pasti bakal banyak yang kaga di test. Tapi ada juga nih penyet-er jenius yang make cara yang efektif nya luar biasa, make cara masukin single quote ke input. Kalo ada error/page berubah berarti vulnerable tuh. Kalo yang satu ini monggo nilai sendiri. Nilai tingkat kecerdasan si penyet-er ini, bukan waktu pentest.
  2. Kalo kelemahan XSS, ini gak butuh waktu lama kayak SQL injection. XSS bisa lebih cepet make tools bikinan BruteLogic n si penyet-er cuman kudu visit semua link ampe selese. Kurang lebih cuman butuh waktu 2 jam lah buat klik sambil baca writeup. Masalah resiko/PoC? mereka udah siap kasih PoC masalah pencurian cookies (WTF!!).
  3. Kalo kelemahan lainnya kayak SSRF, XXE, RCE, LFI, RFI, dll, mereka cuman make Active Scanner nya Burp Suite, gak make perubahan options. Malah ada juga penyet-er yang kemaren mendadak naik daun, gak mampu ngerubah response dari BurpSuite buat coba test spoofing mobile app ke webview (gantung diri aja cuy)!! Keahlian khusus sang penyet-er handal ini adalah mengumpulkan tool yang udah ada, trus dipublish. si penyet-er handal ini bener-bener keliatan bangga banget ma prestasi doi. Wajar sih, menurut gw kalo beliau ini ngerasa bangga. Bangga dengan kemampuannya yang hanya sebatas itu. Oh iya, jadi lupa masalah waktu. Waktu pengujian yang dibutuhin ni penyet-er adalah 20 menit per link n total waktu buat semua link jadi 1000 menit ato 17 jam (gw buletin biar penyet-er bisa tidur makin lama n gak bangun-bangun).
  4. Mobile apps gimana? Nah kalo ini elite banget. MobSF-in aja semua udah kelar. Penyet-er make tool ini n cuman manjangin kalimat pas report biar keliatan wah tapi pas kita minta PoC malah ceramah gak jelas. Mereka ngasih informasi masalah Dangerous Permission tapi pas minta PoC, cengar-cengir aja. Mereka butuh hanya 15 menit untuk melakukan pengujian. 5 menit nunggu scan MobSF, 10 menit cari information sensitive and DONE!!
  5. Aktifitas lain penyet-er selain nguji itu semua apaan? Ya ngerjain lab sambil ngliat writeup yang udah selesai (WTF dude!! Should i expose your name here?)

Jadi buat para penyet-er yang gw cintai dan gw bang[sat]gakan, pentester is not about your name. Pentest sendiri itu implementasi dari berbagai artikel ato guidance yang tujuannya adalah untuk menemukan kelemahan, bukan dari tools. Arti gamblangnya adalah, elu kudu ngerti root cause dari vulnerability itu, gimana caranya eksploitasi. Sederhana emang, tapi di dalemnya padet banget cuuyyy!! Gak bakal sempet elu buat cari sampingan. Kalo elu udah tau ntu semua, elu pasti paham gimana cara patching-nya. Kalo make tool mah anak tetangga guweh yang masih SD bisa jadi penyet-er. Elu kagak malu kalo misal client elu web nya diobrak-abrik ma anak SMP?

Sekarang serah elu, kalo mau gini-gini mulu. Ntar episode selanjutnya kayaknya bakal lebih vulgar biar cepet sadar.

Pesen gw nih, kalo pentest yang bener, sombongnya dikurang-kurangin, konsen ma pentestnya jangan cuman makan duitnya aja tapi ongkang-ongkang kaki sok sibuk padahal cuman baca temuan orang.

Ciao

~E