[owasp-indonesia] Solution to "Penetration testing is obsolete"?

Tedi Heriyanto tedi.heriyanto at gmail.com
Wed Jun 15 21:42:33 EDT 2011


Rekan-rekan,

Saya mohon pencerahannya untuk kejadian yang menimpa Citi terkait
dengan pentest.

2011/6/16 Ganius Tanuel <gtanuel at gmail.com>:
> Saya berposisi: pentest sebagai alat verifikasi. Deteksi/monitoring
> dan pencegahan seharusnya masuk di dalam manajemen keamanan/risiko
> yang holistic bersama komponen-komponen lain. Pentest dilakukan untuk
> melakukan verifikasi terhadap kontrol-kontrol/komponen-komponen
> tersebut *yang sudah ada* (ini idealnya). Jika didapati
> temuan/finding, rekomendasi untuk remediasi atau mitigasi, sebagaimana
> yang umumnya dicantumkan dalam laporan-laporan pentest, harus spesifik
> terhadap temuan tersebut. Tapi setuju, proses-proses yang bisa
> meningkatkan postur keamanan lebih baik diulas dalam pembahasan
> terpisah supaya tetap dalam topik.
Saya sedang bingung dengan kejadian yang menimpa Citi. Sebagai orang
yang berada di luar perusahaan Citi, saya menganggap kejadian tersebut
tidak mungkin terjadi untuk perusahaan sekelas Citi yang pasti
security awareness sudah tinggi dan sudah ada manajemen risiko.

Tapi ternyata mereka masih "kecolongan" juga. Penyebabnya adalah
kerentanan pada websitenya :

<cuplikan>
The underlying vulnerability, known as an insecure direct object
reference, is so common that it's included in the Top 10 Risks list
compiled by the Open Web Application Security Project. It results when
developers expose direct references to confidential account numbers
instead of using substitute characters to ensure the account numbers
are kept private.
</cuplikan>

Sumber URL : http://www.theregister.co.uk/2011/06/14/citigroup_website_hack_simple/

Kalau sudah begini, apakah Citi tidak melakukan pentest ? Saya yakin
Citi pasti melakukan pentest. Tapi kenapa kerentanan umum tersebut
(kalau informasi di artikel di atas benar)  masih bisa lolos ?

Mohon maaf kalau telah mengganggu.


More information about the owasp-indonesia mailing list