{"id":79153,"date":"2025-08-15T15:06:46","date_gmt":"2025-08-15T08:06:46","guid":{"rendered":"https:\/\/www.wowrack.com\/?p=79153"},"modified":"2026-04-07T12:36:38","modified_gmt":"2026-04-07T05:36:38","slug":"apa-itu-vulnerability-assessment","status":"publish","type":"post","link":"https:\/\/www.wowrack.com\/id-id\/blog\/security-id\/apa-itu-vulnerability-assessment\/","title":{"rendered":"Apa Itu Vulnerability Assessment, Pengertian dan Manfaatnya"},"content":{"rendered":"

Apakah Anda menjalankan bisnis melalui halaman website atau aplikasi? Jika YA, maka vulnerability assessment<\/em> adalah hal yang perlu Anda butuhkan untuk menjaga keamanan website.\u00a0<\/span><\/p>\n

Vulnerability assessment<\/em> (VA) merupakan proses mengidentifikasi kelemahan yang ada pada website dan masuk ke server dan mencari dimana saja titik kelemahan yang bisa saja dimanfaatkan oleh pihak ketiga yang tidak bertanggung jawab.<\/span><\/p>\n

Anda mungkin sering mendengar situs web yang diubah tampilan hingga datanya dicuri. Nah, salah satu penyebabnya adalah terdapat celah pada server<\/a> web yang mereka gunakan.<\/span><\/p>\n

Supaya Anda lebih paham mengenai hal ini, mari kita bahas apa itu vulnerability assessment<\/em> sekaligus menjelaskan bagaimana cara melakukannya, a<\/span>yo kita bedah.<\/span><\/p>\n

Pengertian Vulnerability Assessment<\/em>?<\/b><\/h2>\n

Secara harfiah, vulnerability assessment<\/em> ini punya 2 kata, yaitu: \u201cvulnerability<\/em>\u201d dan \u201cassessment<\/em>\u201d, artinya:<\/span><\/p>\n

    \n
  1. Vulnerability<\/em><\/strong>: Berasal dari bahasa Inggris artinya kerentanan\u00a0<\/span><\/li>\n
  2. Assessment<\/em><\/strong>: Artinya penilaian, pengujian atau evaluasi<\/span><\/li>\n<\/ol>\n

    Kalo kita artikan vulnerability assessment<\/em> ini adalah sebuah proses pengujian dan mengevaluasi sebuah sistem untuk melihat apakah ada celah dan mengukur tingkat kerentanan celah itu.\u00a0<\/span><\/p>\n

    Jadi sebuah server perlu dicek apakah memiliki celah atau tidak yang bisa saja dimanfaatkan orang lain untuk mencuri datanya.\u00a0<\/span><\/p>\n

    Nah, orang yang melakukan vulnerability assessment<\/em> disebut dengan istilah vulnerability<\/em> assessor<\/em>.<\/span><\/p>\n

    Kabar baiknya, kami menyediakan layanan VAPT<\/a> (vulnerability assessment & Penetration testing<\/span><\/em>) jika sewaktu-waktu Anda membutuhkan layanan dari kami.<\/p>\n

    Hubungi Kami<\/a><\/p>\n

     <\/p>\n

    \"vulnerability<\/p>\n

    Manfaat Dari Vulnerability Assessment<\/h2>\n

    Apa saja manfaat dari melakukan vulnerability assessment<\/em> ?\u00a0<\/span>Banyaknya kasus pencurian data yang bisa dicegah karena melakukan proses vulnerability assessment.<\/em><\/span><\/p>\n

    Apabila situs Anda berisi data penting karena menyimpan transaksi penjualan ataupun data informasi lainnya, maka perlu melakukan vulnerability assessment<\/em> minimal satu kali saja.<\/span><\/p>\n

    Ada 3 alasan penting kenapa Anda harus melakukan vulnerability assessment<\/em>\u00a0 yaitu:<\/span><\/p>\n

      \n
    1. Mencegah serangan siber.<\/span><\/li>\n
    2. Mematuhi standar keamanan seperti yang dijelaskan dalam ISO 27001, PCI-DSS, atau HIPAA<\/span><\/li>\n
    3. Hemat biaya, karena mencegah lebih baik daripada mengobati, jika website Anda sudah diretas maka biayanya akan jauh lebih mahal<\/span><\/li>\n<\/ol>\n

      \"Vulnerability<\/p>\n

      Cara Melakukan Vulnerability Assessment Untuk Bisnis<\/strong><\/h2>\n

      Untuk mengetahui caranya secara detail berikut adalah panduan langkah demi langkahnya.<\/span><\/p>\n

      1. Tentukan Tujuan<\/b><\/h3>\n

      Hal pertama yang wajib dilakukan adalah mengatur tujuan dari pengujian vulnerability assessment<\/em> ini, Sebab, tanpa perencanaan yang matang, proses testing akan tidak terarah, membuang waktu para tester, dan hasil akhirnya tidak sesuai ekspektasi Anda.<\/span><\/p>\n

      Untuk itu pastikan hal hal berikut ini sebelum melakukan test vulnerability assessment<\/em> <\/span><\/p>\n

      Apa yang akan diuji?<\/b><\/p>\n

      Pertama tentukan apa saja yang akan diuji, bisa website, bisa server bisa semua infrastruktur IT perusahaan.<\/span><\/p>\n

      Ruang lingkup pengujian<\/b><\/p>\n

      Jika sebuah server apa saja batasannya apakah jaringannya aman<\/a>, atau firewallnya<\/a> ada celah, atau yang lainya.<\/span><\/p>\n

      Jenis informasi yang dimiliki saat testing vulnerability assessment<\/em><\/strong><\/h3>\n

      Black Box Testing<\/b>\u00a0<\/span><\/p>\n

      Black box testing adalah pengujian vulnerability assessment ketika penguji tidak memiliki informasi apapun terkait sistem, jadi black box testing ini seperti halnya yang dilakukan hacker yang mencoba mencari celah kebocoran pada sistem karena tidak memiliki informasi apapun kecuali tujuan untuk mencari dimana letak celah yang bisa dibobol.<\/span><\/p>\n

      White Box Testing<\/b><\/p>\n

      White Box Testing adalah jenis pengujian VA yang dilakukan oleh ahli namun dari perusahaan sudah memberikan informasi terkait hal hal yang dibutuhkan oleh para tester, seperti alamat login, port yang aktif dan juga hal hal yang menunjang kebutuhan assessment secara lengkap dan gamblang.<\/span><\/p>\n

      Greybox Testing<\/b><\/p>\n

      Greybox adalah cara pengujian celah keamanan yang dilakukan oleh tester profesional, namun para tester sudah memiliki informasi, namun informasi ini sangat minim dan dokumentasi yang tidak semua diberikan.<\/span><\/p>\n

      \"jenis<\/p>\n

      2. Pengumpulan Informasi (Reconnaissance)<\/b><\/h3>\n

      Tahap kedua adalah tahap pengumpulan informasi, tahap ini sangat penting bagi tester, karena tahap ini dikenal juga sebagai information gathering atau footprinting.\u00a0<\/span><\/p>\n

      Tujuannya sangat jelas, yaitu untuk mendapatkan data sebanyak banyaknya sebelum tester melakukan vulnerability assessment<\/em>.<\/span><\/p>\n

      Beberapa Cara Untuk Mendapatkan Informasi<\/b><\/h4>\n

      Scanning jaringan<\/b><\/p>\n

      Scanning jaringan adalah usaha untuk mengetahui mana saja port yang terbuka dan mana saja yang tertutup.\u00a0<\/span><\/p>\n

      Enumerasi<\/b><\/p>\n

      Enumerasi adalah proses untuk mengetahui informasi terkait sistem operasi apa yang digunakan, versi software yang di install, konfigurasi server apa yang dipakai, NginX atau LiteSpeed atau server lain dan masih banyak lagi<\/span><\/p>\n

      Footprinting<\/b><\/p>\n

      Footprinting adalah mengumpulkan informasi yang tersedia di mesin pencari, informasi ini dapat dilakukan dengan cara <\/span>dorking<\/span><\/i>, atau mencari tahu melalui whois dan DNS enumeration. Data dari footprinting sangat berguna untuk cara uji coba VA.<\/span><\/p>\n

      3. Identifikasi Kerentanan<\/b><\/h3>\n

      Setelah informasi sudah terkumpul setelah melakukan langkah sebelumnya, langkah selanjutnya adalah mencari celah kerentanan pada sistem yang akan di test. Dalam prosesnya, bisa dilakukan dengan dua metode, yaitu dengan cara manual dan cara otomatis<\/span><\/p>\n

      4. Analisis Risiko<\/b><\/h3>\n

      Setiap celah keamanan pada sistem yang sudah berhasil ditemukan oleh tester akan\u00a0 dianalisis lebih lanjut untuk mengetahui tingkat dari celah yang ada. Pembagian level risiko bisa diberi level seperti Low, Medium, High, atau Critical.<\/span><\/p>\n

      Lalu bagaimana dampak apakah dapat menyebabkan peluang kebocoran data, terjadinya down di sistem atau bahkan dapat merugikan secara finansial.<\/span><\/p>\n

      Untuk hasil penilaian yang lebih expert dan dapat dipertanggungjawabkan, tester biasanya menggunakan framework CVSS (Common Vulnerability Scoring System) yang hasilnya bisa menampilkan skor dan deskripsi tingkat risiko.<\/span><\/p>\n

      5. Lakukan Uji Eksploitasi<\/b><\/h3>\n

      Tahap ini bisa dilakukan atau tidak namun bisa sangat berguna untuk memvalidasi apakah temuan sudah benar atau belum. Tujuan dari uji coba ini adalah untuk menjamin apakah celah bisa dimanfaatkan peretas atau tidak.<\/span><\/p>\n

      6. Dokumentasikan Hasil<\/b><\/h3>\n

      Jika semua test sudah dikerjakan oleh ahlinya, maka harus dibuatkan dokumentasi yang rapi, karena dokumentasi ini bisa menjadi acuan untuk proses perbaikan.\u00a0<\/span><\/p>\n

      Laporan hasil assessment harus dibuat dokumentasi, berikut ini adalah isi dari dokumentasinya<\/strong><\/p>\n

        \n
      1. Apa saja kerentanan yang sudah ditemukan, detailnya harus lengkap dengan informasi terkait celah yang sudah ditemukan.<\/span><\/li>\n
      2. Terdapat penjelasan yang detail terkait resiko yang sudah ditemukan<\/span><\/li>\n
      3. Screenshot bukti temuan, lalu log hasil dan hasil exploit dirangkum dalam bentuk gambar dan penjelasan.<\/span><\/li>\n
      4. Tester harus merekomendasi apa saja yang akan dilakukan selanjutnya untuk memperbaiki celah yang sudah ditemukan<\/span><\/li>\n<\/ol>\n

        7. Perbaikan (<\/b>Remediation<\/i><\/b>)<\/b><\/h3>\n

        Tahap terakhir adalah melakukan remediation (perbaikan) dan verification (verifikasi).<\/span><\/p>\n

        Tim IT akan melakukan patching dan memperbaiki celah yang sudah ditemukan sesuai rekomendasi dokumentasi.<\/span><\/p>\n

        Alat Yang Digunakan Untuk Test Vulnerability Assessment?<\/b><\/h2>\n

        Beberapa alat yang bisa digunakan oleh tester adalah nessus, OpenVAS, Qualys dan masih banyak lagi.<\/i><\/span><\/p>\n

        Nessus<\/b><\/h3>\n

        Nessus adalah tools yang bisa digunakan untuk memindai semua tipe kerentanan pada beberapa layer OSI yaitu layer jaringan, layer sistem operasi, dan layer aplikasi.<\/span><\/p>\n

        OpenVAS<\/b><\/p>\n

        OpenVAS adalah tools open-source yang paling sering digunakan oleh para tester untuk melakukan scanning celah keamanan.<\/span><\/p>\n

        Qualys<\/b><\/p>\n

        Qualys adalah tools keamanan siber yang sudah menggunakan teknologi cloud untuk melakukan analisa dan mencari secara otomatis kerentanan yang berada pada beberapa layer OSI.<\/span><\/p>\n

        Analisis manual<\/b><\/h4>\n

        Ada juga cara untuk mengetahui celah keamanan pada suatu sistem, yaitu dengan cara mencari tahu secara manual. Berikut ini adalah yang akan dilakukan oleh tester<\/span><\/p>\n

          \n
        1. Mengecek server apa yang digunakan dan apakah ada celah dari konfigurasi server<\/span><\/li>\n
        2. Menguji apakah ada error pada saat pengiriman informasi ke aplikasi\u00a0<\/span><\/li>\n
        3. Uji coba mengakses API untuk mencari tahu apakah akses valid atau tidak<\/span><\/li>\n<\/ol>\n

          Fokus Identifikasi ini untuk mencari tahu dengan beberapa teknik hacker apakah bisa ditembus atau tidak sistem yang akan diuji coba.<\/span><\/p>\n

          Apa Saja Yang Dicari Dari Vulnerability Assessment?<\/b><\/h2>\n
            \n
          1. Mencari tahu dengan teknik hacker untuk mencari tahu kerentanan sistem dengan uji coba SQL Injection, Cross-Site Scripting (XSS), dan Cross-Site Request Forgery (CSRF).<\/span><\/li>\n
          2. Mencari tahu lokasi kerentanan pada OS dan patch update yang belum pernah di cari tahu sebelumnya.<\/span><\/li>\n
          3. Mencari celah dengan cara weak authentication atau disebut juga karena pembuatan password yang lemah.<\/span><\/li>\n
          4. Mencari tahu apakah ada data sensitif yang dapat diakses publik dengan dorking.<\/span><\/li>\n<\/ol>\n

             <\/p>\n

            \"jenis<\/p>\n

            Jenis-Jenis Vulnerability Assessment<\/b><\/h2>\n

            Saat pengaplikasian, VA dibedakan menjadi beberapa jenis, agar orang yang ingin belajar tidak bingung dengan perbedaan dari semua tes yang ada.<\/span><\/p>\n

            1. Network-Based Vulnerability Assessment<\/b><\/h3>\n

            Seperti namanya, layer jaringan adalah yang paling utama dicari celahnya. Metode ini bekerja dengan cara memindai jaringan pada sistem.\u00a0<\/span><\/p>\n

            Celah yang dicari antara lain perangkat yang terhubung ke server seperti router, switch, next firewall<\/a>, dan perangkat IoT yang ada pada satu jaringan.\u00a0<\/span><\/p>\n

            Jenis ini dilakukan untuk mencari apakah ada celah yang tidak terduga pada port jaringan.<\/span><\/p>\n

            Cara pengujian vulnerability assessment terbaru kini mengintegrasikan <\/span>continuous scanning <\/span><\/i>dan<\/span> threat intelligence feed<\/span><\/i> untuk mendeteksi celah keamanan dengan dinamis dan bisa menemukan zero-day vulnerabilities, tanpa harus menunggu jadwal pemindaian berikutnya.<\/span><\/p>\n

            2. Host-Based<\/b><\/h3>\n

            Host based vulnerability assessment test ini akan memeriksa celah yang ada pada sistem perangkat tertentu. Cara adalah mencari celah secara langsung pada target dan jika menemukan celah pada sistem server maka akan dilaporkan.<\/span><\/p>\n

            Cara pengaplikasian pertama tama dengan mengecek sistem operasi yang digunakan memakai versi berapa dan mencari tahu apakah sudah diperbarui atau belum<\/span><\/p>\n

            Tester VA biasanya memasang alat scanning langsung pada host yang di test, selanjutnya memantau apakah ada celah ketika host digunakan atau tidak.<\/span><\/p>\n

            3. Wireless Network<\/b><\/h3>\n

            Wireless Network Vulnerability Assessment adalah metode mencari tahu celah keamanan yang fokus pada jaringan <\/span>wireless<\/span><\/i>, contoh dari jaringan wireless adalah sinyal, wify, sensor IoT<\/a> dan masih banyak lagi. Tujua dari test ini adalah mencari tahu apakah enkripsi wireless<\/a> sudah bagus atau masih ada celah, sering kita tahu jaringan wireless ada beberapa jenis yaitu WPA2 dan WPA3. Test ini mencari tahu apakah jaringan wireless bisa diretas atau tidak dengan teknisi <\/span>sniffing. <\/span><\/i>Selanjutnya tester akan mencari tahu apakah jaringan sudah sesuai standar keamanan atau belum.<\/span><\/p>\n

            4. Application-Based\u00a0<\/b><\/h3>\n

            Application Based adalah metode yang sering digunakan oleh tester VA untuk mengetahui apakah ada celah pada aplikasi baik dari aplikasi berbasis web atau aplikasi yang berbasis mobile, dalam pengaplikasianya tester akan melakukan serangan SQL Injection<\/a> atau Cross-Site Scripting (XSS) untuk segera mendapatkan celah, Tujuan dari tes ini adalah menguji coba aplikasi apakah aman dari serangan siber yang umum terjadi seperti pada daftar OWASP.<\/span><\/p>\n

            5. Database\u00a0<\/b><\/h3>\n

            Seperti namanya, jenis uji test VA ini akan mengevaluasi bagaimana keamanan database pada sistem, test ini berfungsi untuk mencegah peretas mengambil data login pada database. Proses dari tes ini adalah tester akan memeriksa susunan kode pada database apakah create update delete sudah betul dengan aplikasi. Menguji coba beberapa query yang bisa disalahgunakan untuk SQL injection.<\/span><\/p>\n

            6. Cloud Vulnerability Assessment<\/b><\/h3>\n

            Nah selanjutnya cloud VA adalah test yang dilakukan untuk mencari tahu apakah ada celah keamanan pada konfigurasi layanan cloud yang disewa atau tidak, beberapa penyedia cloud seperti Wowrack, AWS, Microsoft Azure dan Google Cloud tentu memiliki keamanan tingkat tinggi, namun soal konfigurasi tingkat aplikasi tentu bisa saja memiliki celah.<\/span><\/p>\n

            Pengaplikasian test VA ini akan dilakukan pada setting bucket storage, VPS dan API pada sistem karena jika ada kebocoran pada public cloud, bisa menyebabkan pencurian data besar besaran.<\/span><\/p>\n

            7. Compliance-Based\u00a0<\/b><\/h3>\n

            Compliance based vulnerability assessment adalah test yang dibutuhkan oleh pemilik bisnis agar perusahanya bisa mendapatkan verifikasi dari penyedia kepatuhan contohnya ISO 27001, PCI DSS, HIPAA dan GDPR.<\/span><\/p>\n

            Penyedia layanan Vulnerability Assessment<\/h2>\n

            Salah satu perusahaan keamanan siber yang sudah memiliki banyak sertifikasi di Indonesia adalah Wowrack, Dengan pengalaman lebih dari 20 tahun Wowrack sudah memiliki berbagai sertifikasi keamanan siber seperti CEH, ISO 27001, OSCP, <\/span>eWPTX, <\/span>OSWE, <\/span>CAP dan masih banyak lagi.\u00a0<\/span><\/p>\n

            Layanan yang kami sediakan juga sangat banyak, antara lain<\/p>\n

              \n
            1. Managed firewall<\/i><\/li>\n
            2. Layanan DDoS protection<\/a><\/li>\n
            3. Layanan vulnerability assessment<\/i><\/a>,<\/li>\n
            4. Layanan SOC<\/a><\/li>\n
            5. Konsultan sekaligus Jasa pentest<\/a><\/li>\n
            6. Layanan web application firewall<\/a><\/li>\n
            7. Layanan incident response.<\/li>\n<\/ol>\n

              Jika Anda ingin mengetahui informasi terkait layanan kami lainya, Anda bisa menghubungi kami melalui box dibawah ini<\/strong><\/p>\n

              Hubungi Kami<\/a><\/p>\n

              Kesimpulan<\/strong><\/h2>\n

              Jadi, apa itu vulnerability assessment? Vulnerability assessment merupakan proses identifikasi sistem keamanan sebuah web, aplikasi, jaringan dan server yang dilakukan agar pemilik sistem mengetahui apakah memiliki celah yang bisa menjadi serangan siber atau tidak.\u00a0<\/span><\/p>\n

              Proses Vulnerability Assessment ini perlu dilakukan secara rutin setiap 6 bulan sekali minimal. Ini penting dilakukan, bertujuan untuk menjaga web dan aplikasi serta jaringan yang digunakan tetap aman dan terjaga dari tindak kejahatan ciber.\u00a0<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

              Apakah Anda menjalankan bisnis melalui halaman website atau aplikasi? Jika YA, maka vulnerability assessment adalah hal yang perlu Anda butuhkan untuk menjaga keamanan website.\u00a0 Vulnerability assessment (VA) merupakan proses mengidentifikasi kelemahan yang ada pada website dan masuk ke server dan mencari dimana saja titik kelemahan yang bisa saja dimanfaatkan oleh pihak ketiga yang tidak bertanggung […]<\/p>\n","protected":false},"author":5,"featured_media":79163,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"content-type":"","footnotes":""},"categories":[723],"tags":[],"class_list":["post-79153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security-id","post-wrapper"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/posts\/79153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/comments?post=79153"}],"version-history":[{"count":19,"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/posts\/79153\/revisions"}],"predecessor-version":[{"id":89323,"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/posts\/79153\/revisions\/89323"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/media\/79163"}],"wp:attachment":[{"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/media?parent=79153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/categories?post=79153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.wowrack.com\/id-id\/wp-json\/wp\/v2\/tags?post=79153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}