00:00:00Ini adalah Shannon, pengetes penetrasi (pen tester) AI otonom sumber terbuka yang melakukan analisis kode dan mengeksekusi
00:00:05eksploitasi langsung menggunakan otomatisasi peramban untuk menemukan berbagai jenis kerentanan keamanan, mulai dari server-side
00:00:11request forgery hingga cross-site scripting, SQL injection, dan banyak lagi, memberikan Anda laporan keamanan
00:00:17komprehensif yang mendetail dengan nol positif palsu. Namun dengan pengumuman Claude
00:00:22code security dan juga fakta bahwa Shannon dibangun di atas Claude SDK, yang berarti Anda tidak bisa menggunakan
00:00:27langganan Anda, apakah masih ada gunanya mempelajari sesuatu yang mungkin tidak akan bertahan lama?
00:00:31Klik subscribe dan mari kita bahas.
00:00:32Di salah satu pekerjaan saya sebelumnya, kami membayar ribuan dolar kepada pengetes penetrasi eksternal sebelum
00:00:38perilisan besar hanya untuk mengetahui ada bug yang perlu diperbaiki, lalu kami harus mengetesnya lagi,
00:00:43yang memakan banyak waktu dan tentu saja biaya. Tapi inilah alasan tepat Shannon diciptakan.
00:00:48Anda bisa menjalankan Shannon sesering mungkin. Anda bahkan bisa memasukkannya ke dalam pipa CI/CD dan menjalankannya
00:00:53secara otomatis. Dan karena ini sumber terbuka, ini sepenuhnya gratis. Memang ada versi berbayar,
00:00:58yang akan kita bahas nanti. Tapi sebagai seseorang yang bukan ahli keamanan, saya lebih suka menjalankan proyek saya
00:01:03melalui Shannon daripada mem-boot Kali Linux. Mari kita lihat aksi Shannon. Shannon dibangun
00:01:08menggunakan Anthropic Agent SDK. Jadi, Anda memerlukan kunci API Claude agar bisa berfungsi. Sayangnya,
00:01:13langganan biasa tidak akan bisa digunakan, tetapi saya sudah menginstalnya di VPS menggunakan pengguna non-root dan saya
00:01:20akan menjalankannya terhadap OASP juice shop, sebuah aplikasi yang dirancang dengan banyak kerentanan
00:01:25untuk tujuan pengujian. Saya sudah mengklon repositori Shannon, yang Anda perlukan jika ingin
00:01:30menjalankannya. Dan agar ini berfungsi, repositori yang ingin Anda tes harus berada di dalam direktori
00:01:34repos milik Shannon. Jadi, saya sudah memasukkan juice shop di sini. Dengan proyek juice shop yang sedang berjalan,
00:01:39saya akan menjalankan perintah ini, yang akan terhubung ke aplikasi yang berjalan secara lokal untuk pengujian peramban
00:01:44dan terhubung ke repositori di dalam direktori repo untuk memindai kodenya. Jika ini adalah
00:01:50pertama kalinya Anda menjalankan Shannon, karena ia menggunakan Docker Compose, ia harus mengunduh banyak
00:01:54image dari Docker Hub terlebih dahulu. Namun karena saya sudah melewati proses itu, ia langsung melompat ke sini.
00:01:58Kita mendapatkan tautan ke alur kerja temporal dan kita bisa melihatnya menggunakan UI web, yang tampilannya
00:02:03seperti ini, menunjukkan semua langkah yang perlu dilakukan. Atau kita bisa menjalankan perintah ini untuk melihat log
00:02:07secara real-time, yang terkadang saya lebih suka karena UI web tidak selalu menunjukkan informasi yang paling lengkap.
00:02:12Tapi tunggu, apa itu temporal? Saya pikir kita sedang membicarakan Shannon.
00:02:16Pengetesan penetrasi Shannon bisa memakan waktu satu atau beberapa jam tergantung pada ukuran proyek, dan temporal
00:02:21memastikan eksekusi yang tahan lama, apa pun skenarionya. Jadi, jika komputer Anda mati di tengah jalan
00:02:26saat pengetesan atau kredit cloud Anda habis dan perlu diisi ulang, Anda tidak akan kehilangan progres. Temporal
00:02:32mengingat tepat di mana Anda berhenti dan memulai ulang Shannon dari titik pemeriksaan tersebut. Beri tahu saya di
00:02:36kolom komentar jika Anda ingin video khusus tentang temporal, tetapi ia juga mengatur semua fase
00:02:42dan aktivitas Shannon. Dan meskipun hanya ada lima fase, banyak hal terjadi di dalamnya.
00:02:47Mari saya tunjukkan. Dimulai dengan fase pre-flight yang memastikan kredensial API valid.
00:02:53Kontainer Docker sudah siap dan repositori benar-benar ada. Kemudian tahap pre-recon, yang menganalisis
00:03:00kode untuk memahami cara kerja aplikasi. Seperti arsitektur, pemetaan titik masuk, dan pola
00:03:05keamanan. Berikutnya adalah tahap recon yang sebenarnya, yang sangat berbeda dari pre-recon karena di sini
00:03:12Playwright digunakan untuk menavigasi aplikasi. Ia akan mengklik tombol, mengisi formulir, dan menggunakan
00:03:18hal itu untuk mengamati permintaan jaringan, mengambil tangkapan layar, melihat cookie, pada dasarnya memetakan semua
00:03:24fungsionalitas aplikasi. Kemudian fase empat melakukan lima alur kerja (pipeline) secara paralel. Di sini kita memiliki
00:03:31kerentanan dan eksploitasi terkait injeksi, lalu kerentanan dan eksploitasi cross-site scripting,
00:03:38kemudian autentikasi, server-side request forgery. Dan terakhir kita memiliki otorisasi, yaitu mengakses
00:03:45data istimewa atau informasi orang lain. Dan semua ini terjadi secara paralel pada lima agen yang berbeda
00:03:52untuk kerentanan dan lima agen lainnya untuk eksploitasi. Dan akhirnya kita memiliki fase lima, yang
00:03:59menyusun semuanya menjadi laporan pengetesan penetrasi yang komprehensif dengan menggabungkan lima pemeriksaan terakhir. Berbicara
00:04:07soal laporan, mari kita lihat bagaimana progres pengetesan kita. Setelah hampir dua setengah jam, proses
00:04:12lengkapnya selesai dan kita bisa melihat di sini dimulai dengan validasi pre-flight sebelum
00:04:17berlanjut ke pre-recon lalu agen recon. Dan di sini ia menjalankan semua pemeriksaan
00:04:25kerentanan. Kita punya agen kerentanan injeksi, cross-site scripting, otorisasi, SSRF.
00:04:31Dan Anda bisa melihat untuk beberapa bagian ini, garis hijaunya tidak utuh. Ini karena ia harus mencoba ulang
00:04:36karena kredit cloud saya habis. Jadi, Anda bisa melihat ada angka dua di sini, sedangkan untuk yang ini, tidak ada
00:04:40percobaan ulang. Jadi mungkin bisa lebih cepat dari dua setengah jam jika bukan karena pengulangan ini, tapi
00:04:46menurut saya tidak akan kurang dari dua jam. Bagaimanapun, setelah selesai dengan lima pemeriksaan
00:04:51kerentanan, ia lanjut melakukan lima pemeriksaan eksploitasi. Kita bisa melihat SSRF di sini, ada
00:04:56eksploitasi autentikasi, injeksi, dan sebagainya. Setelah semua itu selesai, kita bisa melihat bahwa
00:05:02eksploitasi autentikasi memakan waktu paling lama. Ia kemudian merangkum semuanya menggunakan agen laporan. Sekarang,
00:05:07tentu saja jika mau, kita bisa memperluas semua ini untuk melihat informasi lebih lanjut tentang setiap tahap, tapi
00:05:13saya bukan ahli temporal dan saya yakin jika kita membaca dokumentasinya, akan ada lebih banyak lagi
00:05:17tentang cara menggunakan platform ini. Namun sekarang mari kita lihat laporan akhir yang dihasilkan Shannon.
00:05:22Di sini, dalam direktori deliverables dari proyek juice shop kita, kita bisa melihat daftar semua
00:05:28laporan yang telah dihasilkan. Dan jumlahnya jauh lebih banyak dari yang saya duga. Mari kita lihat dulu
00:05:33laporan ini, yaitu analisis autentikasi. Dan Anda bisa melihat ada ringkasan di bagian atas. Di sini,
00:05:37tercatat ada 11 kerentanan kritis yang teridentifikasi dan kita bisa melihat apa saja kerentanannya.
00:05:43Nol dari enam titik akhir (endpoint) autentikasi yang menggunakan HTTPS, yang masuk akal karena saya
00:05:47menjalankannya secara lokal. Lalu kita juga melihat kontrol cusp yang tepat, yang tidak ada di sana.
00:05:52Dan titik akhir autentikasi tidak memiliki batasan (rate limit) yang memadai. Semuanya hilang. Ini sangat
00:05:56mendetail. Jika kita gulir ke bawah, kita bisa melihat tepatnya apa masalahnya, di mana lokasinya,
00:06:01dan titik akhir yang menyebabkannya. Saya tidak akan membosankan Anda dengan menelusuri setiap
00:06:05laporan, tapi mari kita lihat ringkasannya yang disebut Comprehensive Security Assessment Reports.
00:06:10Di dalamnya, kita memiliki detail tentang model yang digunakan dan cakupan proyeknya. Dan sekarang
00:06:15jika kita gulir ke bawah, kita bisa melihat bahwa ia menemukan empat kerentanan autentikasi kritis yang sepenuhnya
00:06:21berhasil dieksploitasi dan mencantumkannya di bawah sini. Wah, ini sangat menyeluruh, tapi lihat ini.
00:06:26Jika kita gulir lebih jauh lagi, ia memberikan ringkasan laporan. Ini adalah yang pertama tentang IDOR
00:06:31dan gulir lebih banyak lagi. Kita bisa melihat tepatnya bagaimana penyerang bisa mengeksploitasi ini. Perintah
00:06:38curl yang tepat yang bisa mereka jalankan beserta detailnya dan jenis informasi yang bisa mereka ambil. Dan
00:06:43tingkat kerincian ini ada untuk setiap kerentanan, yang menunjukkan betapa banyak
00:06:48detail yang dimasukkan ke dalam penilaian tersebut. Jika Anda tertarik, saya akan menyertakan tautan ke semua
00:06:54laporan tersebut di deskripsi ini. Namun dua setengah jam adalah waktu yang sangat lama bagi Claude Sonnet untuk
00:06:59memindai sebuah repositori. Apakah ada yang bisa dibantu oleh Shannon Pro? Sepertinya
00:07:04Shannon Pro tidak bisa membantu mempercepat, tetapi ia melakukan hal-hal lain seperti memberikan skor CVSS,
00:07:09yang tidak ada pada versi dasar atau gratis. Ia memiliki dukungan pipa CI/CD, akses API. Dan yang lebih
00:07:16penting, jika Anda pengguna korporat, Anda mendapatkan semua yang diharapkan, termasuk pelaporan
00:07:22kepatuhan OASP, serta SOC 2 dan PCI DSS. Jadi, meskipun dua setengah jam adalah waktu yang sangat
00:07:27lama, saya sudah melakukan riset dan menemukan bahwa pengoperasian pertama Shannon adalah yang paling lama dan
00:07:32pengoperasian selanjutnya jauh lebih cepat. Sekarang saya tahu apa yang Anda pikirkan. Hampir dua setengah jam menjalankan
00:07:37Claude Sonnet 3.5 pada satu pengetesan penetrasi. Berapa biaya kreditnya? Anggap saja banyak.
00:07:43Saya mengisi sekitar $66 dan akhirnya tersisa sebanyak ini. Jadi hampir $60 kredit Claude
00:07:50dihabiskan untuk menjalankan tes ini, yang memang lebih murah daripada menyewa pengetes manusia, tapi tetap saja
00:07:55uang yang banyak. Saya ingin sekali bisa menggunakan langganan Claude Pro atau Max saya, yang akan membuat semuanya
00:08:00jauh lebih murah, dan itulah yang semoga diizinkan oleh fitur keamanan kode Claude ketika
00:08:05dirilis secara resmi nanti, kecuali tim di Keygraph akhirnya menulis ulang Shannon menggunakan sesuatu seperti
00:08:10OpenAI Agent SDK atau menggunakan Vercel AI SDK, yang memungkinkan Anda menggunakan lebih banyak model. Namun secara keseluruhan,
00:08:16jika Anda adalah perusahaan rintisan dan tidak ingin menghabiskan banyak uang untuk pengetes manusia, maka Shannon adalah
00:08:21alternatif yang bagus. Jika Anda seorang pengembang mandiri dengan dana lebih sedikit, mungkin sebaiknya tunggu dulu dan langsung saja
00:08:26rilis produknya untuk melihat apakah orang benar-benar menggunakannya. Dan selagi kita membahas topik AI dan keamanan,
00:08:30jika Anda ingin tahu cara menginstal OpenClaude dengan aman di VPS,
00:08:34silakan tonton video berikutnya di mana saya membahas langkah demi langkah tepatnya cara melakukannya.