Beranda / Cyber Security

Penetration Testing Execution Standard (PTES): Panduan Lengkap dan Contoh Praktis!


Penetration Testing Execution Standard (PTES) adalah salah satu kerangka kerja paling komprehensif dan diakui secara luas untuk melakukan penetration testing (pentest) secara profesional, terstruktur, dan repeatable. Dibuat oleh sekelompok pakar keamanan siber sejak sekitar 2009–2012, PTES tetap relevan hingga sekarang karena pendekatannya yang menyeluruh — bukan hanya teknis, tapi juga bisnis-oriented.

Berbeda dengan pendekatan ad-hoc yang sering dilakukan (seperti hanya jalankan scanner lalu exploit), PTES memastikan setiap pentest memiliki kualitas konsisten, ruang lingkup jelas, dan nilai bisnis tinggi bagi klien. Situs resmi PTES ada di pentest-standard.org, meskipun update terakhir agak lama, inti metodologinya masih menjadi acuan utama banyak tim red team dan konsultan keamanan.

PTES membagi proses penetration testing menjadi 7 tahap utama. Berikut penjelasan mendalam, lengkap dengan tujuan, aktivitas kunci, tools umum yang sering digunakan (2025–2026 era), serta contoh praktis yang lebih realistis dan actionable dibandingkan artikel asli.

1. Pre-engagement Interactions (Persiapan & Kesepakatan Awal)

Tahap paling krusial yang sering diabaikan. Tanpa tahap ini, pentest bisa berujung pada masalah hukum atau scope creep.

Tujuan utama:

  • Mendefinisikan scope, goals, dan batasan dengan jelas
  • Menentukan Rules of Engagement (RoE)
  • Mendapatkan izin tertulis (Written Permission / RoE document)

Aktivitas kunci:

  • Kick-off meeting dengan klien
  • Menentukan jenis pengujian: black-box, gray-box, white-box
  • Menentukan target: internal network, external, web app, API, mobile, cloud (AWS/GCP/Azure), physical?
  • Menentukan waktu pengujian (jam kerja atau 24/7?), IP yang boleh diuji, asset kritis yang dilarang disentuh
  • Membahas handling sensitive data, contingency plan jika crash terjadi

Contoh praktis: Sebuah bank ingin pentest aplikasi mobile banking-nya. Di tahap ini disepakati: hanya gray-box (diberi akun dummy), tidak boleh lakukan DDoS, pengujian dilakukan Senin–Jumat 09.00–17.00 WIB, dan production environment dilarang disentuh — hanya staging.

2. Intelligence Gathering (Pengumpulan Informasi / Reconnaissance)

Tahap pasif & semi-pasif untuk memahami target tanpa menyentuhnya langsung.

Tujuan: Mengumpulkan sebanyak mungkin data publik & semi-publik untuk membangun profil target.

Sub-tahap:

  • Passive recon: OSINT (Shodan, Censys, FOFA, Google dorks, LinkedIn, GitHub leaks, DNSdumpster, theHarvester)
  • Active recon (jika diizinkan): DNS enumeration, subdomain brute-force (Amass, Sublist3r, assetfinder)

Tools populer 2025:

  • theHarvester, Maltego, Recon-ng, SpiderFoot, Shodan CLI, Git-dumper
  • Untuk cloud: Cloud_enum, AzureHound, Pacu (AWS)

Contoh praktis: Untuk perusahaan fintech, ditemukan subdomain lama dev-old.perusahaan.co.id yang masih live, terindeks di Shodan dengan port 8080 terbuka (Jenkins lama), plus email karyawan di GitHub commit history → jadi entry point potensial.

3. Threat Modeling

Menggabungkan data recon dengan pemahaman bisnis klien untuk memprioritaskan serangan realistis.

Tujuan: Menentukan "apa yang paling mungkin diserang attacker sungguhan" dan "apa dampak bisnisnya".

Aktivitas:

  • Membuat diagram data flow & trust boundaries
  • Identifikasi asset kritis (data pelanggan, API payment, admin panel)
  • Menentukan threat actor yang relevan (script kiddie, competitor, APT, insider)

Contoh praktis: Pada e-commerce, threat model menunjukkan API checkout paling kritis karena berhubungan dengan payment gateway → prioritas tinggi untuk tes business logic flaws & IDOR.

4. Vulnerability Analysis (Analisis Kerentanan)

Mengidentifikasi celah keamanan potensial dari data sebelumnya.

Tujuan: Menemukan weakness yang bisa dieksploitasi.

Metode:

  • Automated scanning: Nessus/Tenable, OpenVAS, Nuclei, Nikto, sqlmap
  • Manual review: source code (jika white-box), Burp Suite, ZAP, manual testing
  • Fokus pada high-hanging fruit → low-hanging fruit

Contoh praktis: Scan menemukan endpoint /api/v1/user/profile dengan parameter ?id=123 tanpa authorization check → potensi IDOR. Manual test mengonfirmasi bisa akses data user lain.

5. Exploitation

Membuktikan kerentanan dengan exploitasi aman.

Tujuan: Mendapatkan akses / bukti konsep (PoC) tanpa merusak sistem.

Aktivitas:

  • Gunakan Metasploit, custom PoC, nuclei templates, Burp Collaborator untuk blind vulnerabilities
  • Chain vulnerabilities (misal: XSS → credential theft → privilege escalation)

Contoh praktis: Exploit reflected XSS di search bar → inject payload untuk steal admin cookie → login sebagai admin → akses dashboard sensitif.

6. Post-Exploitation

Setelah masuk, apa yang bisa dilakukan attacker?

Tujuan: Menunjukkan impact bisnis sebenarnya.

Aktivitas:

  • Privilege escalation (Linux: linPEAS, Windows: winPEAS, PowerUp)
  • Lateral movement (pivot, RDP hopping, Pass-the-Hash)
  • Data exfiltration simulation
  • Persistence (jika red teaming)
  • Cleanup (hapus jejak, restore jika diubah)

Contoh praktis: Setelah dapat shell di web server, pivot ke internal network via SSH tunneling → temukan database server dengan credential plaintext → dump tabel users & payment.

7. Reporting

Tahap yang menentukan nilai pentest — laporan yang buruk bisa buat seluruh kerja sia-sia.

Elemen wajib laporan berkualitas:

  • Executive Summary (bahasa non-teknis, high-level risk)
  • Technical Findings (CVSS score, deskripsi, bukti screenshot/PoC video, impact, remediation steps)
  • Risk Rating Matrix (Critical/High/Medium/Low)
  • Positive findings (apa yang sudah bagus)
  • Retest recommendation

Tips modern:

  • Gunakan template seperti PTES atau OWASP
  • Sertakan visual: attack chain diagram, network map
  • Berikan remediation prioritas (quick wins vs long-term)

Contoh praktis: Laporan untuk perusahaan retail menemukan 3 critical (RCE, SQLi, auth bypass), 12 high. Executive summary: "Potensi kebocoran data 1,2 juta pelanggan & kerugian finansial hingga Rp15 Miliar jika dieksploitasi." Disertai remediation step-by-step & timeline suggested.

Mengapa PTES Masih Relevan di 2026?

  • Fleksibel untuk berbagai jenis pengujian (web, mobile, cloud, red team)
  • Menekankan komunikasi bisnis & impact, bukan hanya menemukan bug
  • Bisa dikombinasikan dengan OSSTMM, NIST, MITRE ATT&CK, atau OWASP Testing Guide

Jika Anda ingin melakukan pentest yang benar-benar profesional dan memberikan nilai maksimal bagi klien atau organisasi Anda, ikuti 7 tahap PTES ini secara disiplin. Bukan hanya soal menemukan vulnerability, tapi membuktikan risiko bisnis nyata dan memberikan jalan perbaikan yang jelas.

Apakah Anda sedang mempersiapkan pentest project atau ingin contoh template laporan PTES yang lebih detail? Saya bisa bantu elaborasi lebih lanjut!