Layanan Penetration Testing Aplikasi Desktop

DA1 – Injections

Pengujian terhadap kerentanan seperti SQL, LDAP, XML, OS command, atau HTML injection, di mana input pengguna yang tidak dipercaya dapat disalahartikan atau dijalankan oleh aplikasi atau sistem di bawahnya. Termasuk analisis cara data dikirim ke interpreter atau sistem call serta efektivitas sanitasi input dan query parameter.

DA2 – Broken Authentication & Session Management

Penilaian keamanan mekanisme login, pengelolaan sesi, dan protokol autentikasi untuk akun aplikasi, perangkat eksternal, atau sumber daya jaringan. Mencakup kelemahan seperti sesi yang tidak diakhiri dengan benar, implementasi autentikasi multi-faktor yang lemah, atau autentikasi yang tidak memadai di antarmuka yang terbuka.

DA3 – Sensitive Data Exposure

Identifikasi kejadian di mana data sensitif (PII, kredensial, kunci, data keuangan) terekspos tanpa disengaja. Termasuk analisis penyimpanan data di perangkat (database, file konfigurasi, log), rahasia yang dikodekan dalam biner, data sensitif di memori saat runtime (misalnya melalui analisis memory dump), atau transmisi data yang tidak aman. Kami mengevaluasi efektivitas enkripsi (saat disimpan dan saat ditransmisikan) serta kontrol akses.

DA4 – Improper Cryptography Usage

Peninjauan penggunaan fungsi kriptografi aplikasi, termasuk manajemen kunci yang lemah, algoritma yang usang, atau implementasi yang salah yang dapat menyebabkan kebocoran data atau kompromi integritas.

DA5 – Improper Authorization

Pengujian skema otorisasi terhadap kelemahan seperti kontrol akses yang rusak yang memungkinkan pengguna melakukan tindakan atau mengakses data yang tidak diperbolehkan, atau vektor eskalasi hak akses.

DA6 – Security Misconfiguration

Identifikasi kelemahan keamanan akibat salah konfigurasi dalam aplikasi, pengamanan sistem operasi yang mendasari, pengaturan registry, aturan firewall, atau layanan pihak ketiga yang berinteraksi dengannya. Termasuk pengujian terhadap konfigurasi default yang tidak aman atau fungsi debug yang terbuka.

DA7 – Insecure Communication

Analisis komunikasi jaringan untuk mengidentifikasi penggunaan protokol yang lemah, koneksi yang tidak dienkripsi, atau transmisi data sensitif secara tidak aman, termasuk interaksi dengan API atau database backend. Alat seperti Burp Suite dan Wireshark digunakan untuk mencegat dan menganalisis lalu lintas. Fuzzing juga dapat dilakukan pada port atau layanan yang terbuka.

DA8 – Poor Code Quality / Code Tampering / Reverse Engineering

Evaluasi masalah kualitas kode, termasuk kerentanan yang bisa dieksploitasi melalui perubahan kode atau modifikasi lingkungan eksekusi. Kami menilai kemungkinan dan dampak Reverse Engineering terhadap file biner aplikasi (menggunakan decompiler atau alat analisis biner) untuk memahami logika internal, algoritma, atau sumber daya yang tertanam—terutama jika tidak ada obfuscation atau signing. Termasuk pengujian kerentanan klasik pada biner dan isu seperti DLL Hijacking.

DA9 – Using Components with Known Vulnerabilities

Pemeriksaan penggunaan pustaka, framework, atau komponen pihak ketiga yang sudah usang dan memiliki kerentanan keamanan yang diketahui secara publik.

DA10 – Insufficient Logging & Monitoring

Evaluasi praktik logging aplikasi untuk memastikan bahwa kejadian keamanan kritis dan aktivitas pengguna tercatat dan dimonitor dengan baik, memungkinkan deteksi dan respons insiden yang efektif. Kami juga menilai risiko penyerang memanipulasi log atau beroperasi tanpa terdeteksi.