Kurikulum untuk menjadi seorang ethical hacker biasanya mencakup berbagai topik dalam keamanan siber, mulai dari dasar-dasar jaringan hingga keterampilan khusus dalam pengujian penetrasi (penetration testing) dan keamanan aplikasi. Berikut adalah komponen utama yang sering ada dalam kurikulum seorang ethical hacker:
1. Dasar-Dasar Keamanan Siber
● Konsep Keamanan: Prinsip dasar CIA (Confidentiality, Integrity, Availability).
● Jenis Ancaman dan Serangan: Jenis-jenis serangan umum (seperti malware, phishing, DDoS).
● Perangkat Keamanan: Firewall, IDS/IPS, antivirus, dan alat-alat pengamanan dasar lainnya.
2. Dasar-Dasar Jaringan dan Protokol
● Jaringan Komputer: Struktur jaringan, TCP/IP, DNS, routing, dan subnetting.
● Protokol Komunikasi: HTTP, HTTPS, FTP, SSH, SMTP, dan protokol lainnya yang umum.
● Pengamanan Jaringan: VPN, SSL/TLS, Wi-Fi security (WPA, WPA2, WPA3).
3. Dasar Sistem Operasi dan Manajemen Server
● Sistem Operasi: Familiar dengan Windows, Linux, dan macOS.
● Perintah Dasar Linux: Penggunaan CLI untuk manajemen sistem dan jaringan.
● Administrasi Server: Konfigurasi server, manajemen pengguna, dan izin akses.
4. Kriptografi
● Enkripsi dan Dekripsi: Teknik enkripsi simetris dan asimetris, seperti AES, RSA.
● Algoritma Hashing: MD5, SHA-256, bcrypt, serta penggunaannya dalam penyimpanan kata sandi.
● PKI (Public Key Infrastructure): Konsep sertifikat digital dan SSL/TLS.
5. Pengujian Penetrasi (Penetration Testing)
● Metodologi Pengujian Penetrasi: Perencanaan, pengintaian, eksploitasi, dan pelaporan.
● Pengintaian dan Pemindaian: Teknik pengintaian pasif dan aktif, menggunakan alat seperti Nmap, Wireshark, dan Recon-ng.
● Eksploitasi dan Akses Sistem: Teknik eksploitasi, eskalasi privilege, persistence.
6. Keamanan Aplikasi Web
● Kerentanan Umum: OWASP Top 10 (seperti XSS, SQL Injection, CSRF).
● Pengujian Keamanan Aplikasi Web : Penggunaan Burp Suite, OWASP ZAP, dan teknik manual.
● Pengamanan Aplikasi: Konsep input validation, sanitasi data, dan autentikasi.
7. Keamanan Mobile dan API
● Arsitektur Keamanan Mobile: Platform iOS dan Android, metode rooting/jailbreaking.
● Keamanan API: Otorisasi dan autentikasi (OAuth, JWT), proteksi terhadap serangan API Injection.
8. Social Engineering dan Phishing
● Metode Social Engineering: Teknik rekayasa sosial, seperti phishing, pretexting, baiting.
● Simulasi Phishing: Membuat kampanye phishing untuk pengujian kesadaran keamanan.
9. Pemrograman Dasar dan Scripting
● Bahasa Pemrograman Penting: Python (untuk scripting dan automasi), JavaScript (untuk pengujian aplikasi web).
● Shell Scripting: Bash untuk Linux, PowerShell untuk Windows.
● Penggunaan Scripting dalam Otomatisasi Keamanan: Pemindaian jaringan, ekstraksi log, dll.
10. Penggunaan Alat-Alat Ethical Hacking
● Alat Pemindaian: Nmap, Wireshark, Metasploit, Nikto.
● Alat Ekploitasi dan Testing: Burp Suite, John the Ripper, Hashcat, SQLmap.
● Automasi dan Manajemen Alat: Penggunaan tool security orchestration untuk mempercepat proses pengujian.
11. Laporan dan Dokumentasi
● Teknik Pelaporan yang Baik: Cara membuat laporan temuan yang mudah dipahami oleh pihak teknis dan non-teknis.
● Pembuatan Dokumentasi: Dokumentasi hasil pengetesan dan rekomendasi mitigasi.
12. Sertifikasi Pendukung
● Sertifikasi Industri: Sertifikasi CEH (Certified Ethical Hacker), CompTIA Security+, OSCP (Offensive Security Certified Professional), dan CHFI (Certified Hacking Forensic Investigator).
13. Praktik dan Simulasi Nyata
● Lab Virtual dan Simulasi Serangan: Menggunakan lab virtual seperti Hack The Box atau TryHackMe.
● Bug Bounty Program: Berpartisipasi dalam program bug bounty untuk meningkatkan pengalaman.
14. Sumber dan Platform Pembelajaran
Beberapa platform pembelajaran populer termasuk Cybrary, Udemy, TryHackMe, Hack The Box, serta kursus dari lembaga seperti Offensive Security dan EC-Council.