# Definisi Scope Pentest
Scope (ruang lingkup) adalah fondasi dari engagement pentest. Scope mendefinisikan batasan, target, dan parameter teknis yang boleh dan tidak boleh diuji.
Scope yang jelas memastikan:
– pentest berjalan aman,
– hasil pentest relevan dan dapat diukur,
– menghindari downtime dan risiko operasional,
– legalitas tetap terjaga,
– ekspektasi semua pihak selaras.
—
## 1. Bentuk Scope
### 1.1 Scope Berbasis Aset
– domain & subdomain,
– IP publik,
– IP internal,
– aplikasi mobile,
– API,
– cloud resources,
– server & database,
– perangkat IoT,
– wireless network.
### 1.2 Scope Berbasis Fungsi
– sistem login,
– modul pembayaran,
– sistem admin,
– komunikasi antar-microservices.
### 1.3 Scope Berbasis Risiko
Menargetkan area dengan:
– data sensitif,
– privilege tinggi,
– eksposur publik,
– integrasi vendor.
—
## 2. Contoh Scope Pentest
### Web App Pentest:
– `example.com`,
– `api.example.com`,
– modul login, transaksi, reporting.
### Cloud Pentest:
– AWS IAM,
– S3 Bucket configurations,
– Security Groups.
### Network Pentest:
– external IP range: 202.xxx.xxx.0/24,
– internal VLAN 10, 20, 30.
—
## 3. Pengurangan Risiko
– exclude production database modification,
– scanning tingkat agresif harus disetujui terpisah,
– DoS/DDoS dilarang kecuali disetujui.
Dokumen scope harus ditandatangani sebelum pentest dimulai.
