8grams8grams.
Blog
ENID
Mulai Proyek
ENID
Mulai Proyek
8grams8grams.

Studio perangkat lunak bertenaga AI yang membawa web app, aplikasi mobile, dan infrastruktur cloud Anda dari ide hingga produksi.

Hubungi kami

  • info@8grams.tech
  • WhatsAppWhatsApp: +62 811-3143-975
Baca 8grams di MediumSukai 8grams di FacebookIkuti 8grams di InstagramIkuti 8grams di LinkedInIkuti 8grams di X

Halaman

  • Migrasi Cloud
  • Optimasi Biaya Cloud
  • Cybersecurity
  • Migrasi Kubernetes
  • Blog
  • Kontak

Layanan

  • DevOps & Infrastruktur Cloud

    Infrastruktur yang andal dan skalabel, dirancang untuk pertumbuhan.

  • Pengembangan Aplikasi Web

    Web app kustom yang dibangun untuk hasil bisnis nyata.

  • Pengembangan Aplikasi Mobile

    Aplikasi iOS dan Android yang benar-benar ingin digunakan pengguna.

  • Web Company Profile

    Situs perusahaan yang cepat dan ramah pencarian dengan SEO, GEO, dan AEO yang terukur.

  • Cybersecurity

    Temukan dan perbaiki masalah keamanan sebelum menjadi insiden.

Mulai Proyek

Kami membalas dalam satu hari kerja.

© 2026 8grams Technology. Surabaya, Indonesia.

Dibuat untuk tim yang siap merilis.

Chat with us
Cybersecurity/Penetration Testing & AI Red Teaming
Penetration Testing & AI Red Teaming

Temukan titik lemah Anda sebelum penyerang menemukannya.

Aplikasi, API, jaringan, aplikasi mobile, dan permukaan AI Anda diuji dengan cara seperti yang dilakukan penyerang sungguhan, termasuk prompt injection, jailbreak, model extraction, dan kebocoran data RAG terhadap fitur LLM Anda. Pengujiannya langsung dan tanpa tedeng aling-aling. Anda mendapatkan kembali laporan berisi skor CVSS, langkah reproduksi yang persis, dan panduan remediasi yang bisa langsung dikerjakan developer Anda pada hari yang sama.

  • Penetration testing aplikasi web dan API, mengikuti metodologi OWASP
  • Red teaming AI dan LLM terhadap OWASP LLM Top 10
  • Penilaian keamanan aplikasi mobile untuk iOS dan Android
  • Simulasi social engineering dan phishing yang diperkuat AI
Get a quoteWhy this matters

Tool yang diandalkan profesional keamanan dalam engagement nyata.

Kali LinuxMetasploitBurp SuiteOWASPWireshark
Why

Penyerang akan menemukan celah yang dilewati developer Anda.

Developer dibayar untuk membangun fitur, dan itu adalah pola pikir yang berbeda dari merusaknya. Code review menangkap kesalahan logika. Ia jarang menangkap rangkaian kreatif dari permintaan yang tampak valid yang digunakan penyerang untuk mengambil alih sistem nyata. Penetration test adalah cara Anda melihat aplikasi Anda melalui mata yang bermusuhan.

Pentest terakhir dilakukan dua tahun lalu

Sejak itu Anda telah merilis fitur baru dan memperluas API Anda, dan jenis serangan yang dilancarkan orang pun sudah berubah. Laporan lama itu menggambarkan sistem yang sudah tidak ada lagi. Ia tidak mengatakan apa pun yang berguna tentang posisi Anda hari ini.

Output scanner, tetapi tanpa pengujian nyata

Sebuah tool berjalan, memuntahkan 200 temuan, dan tidak ada yang bisa memastikan mana yang nyata. Scanner otomatis sama sekali tidak melihat kerentanan business logic. Menangkap yang seperti itu butuh manusia.

Klien enterprise meminta laporan pentest

Proses vendor onboarding mereka membutuhkan laporan yang bertanggal dalam 12 bulan terakhir. Anda tidak memilikinya, sehingga kesepakatan tertunda sementara Anda kalang kabut.

Sebuah API yang belum pernah ditinjau

Ia menangani autentikasi, data pengguna, dan pembayaran, dan ia belum pernah diperiksa untuk injection, broken object-level authorisation, atau rate limiting. Hal itu seharusnya sudah terjadi sejak lama.

The Process

How we run this engagement.

Each step produces something concrete, comes with a written hand-off, and has to pass a checkpoint before we move on to the next one.

01

Scoping

Kami menyepakati ruang lingkup secara tertulis terlebih dahulu. Itu mencakup sistem mana yang terlibat, peran pengguna mana yang kami gunakan, jenis pengujian, aturan pelaksanaan, jendela pengujian, dan siapa yang harus dihubungi dalam keadaan darurat. Kami tidak menyentuh apa pun di luar ruang lingkup itu.

02

Reconnaissance

Kami memetakan attack surface Anda dengan cara penyerang mempersiapkan pekerjaannya. Itu mencakup endpoint, autentikasi, integrasi pihak ketiga, dan metadata apa pun yang Anda biarkan terbuka.

03

Exploitation

Pengujian langsung yang mengikuti OWASP Testing Guide. Kami tidak sekadar menunjuk sebuah temuan, kami mengeksploitasinya. Dengan begitu peringkat tingkat keparahan mencerminkan dampak nyata, bukan skenario terburuk yang teoretis.

04

Dokumentasi

Setiap temuan mendapatkan skor CVSS, deskripsi, screenshot, langkah reproduksi, dan panduan remediasi. Laporannya memiliki ringkasan eksekutif untuk pimpinan dan detail teknis yang dibutuhkan developer Anda.

05

Pengujian ulang

Setelah tim Anda menuntaskan perbaikannya, kami menguji kembali dan mengonfirmasi setiap temuan telah ditutup. Laporan akhir menunjukkan kondisi yang sudah diperbaiki, yang merupakan bukti yang dicari auditor dan pembeli enterprise Anda.

The Result

What you walk away with.

These are outcomes you can measure, not a slide deck. Here's the change you should expect to see.

CVSS-scoredsetiap temuan

Laporan yang bisa langsung ditindaklanjuti developer Anda

Setiap temuan disertai langkah reproduksi, bukti, dan panduan remediasi yang spesifik. Tidak ada yang perlu mencari-cari solusinya. Sudah ada di dalam laporan.

Hands-onpengujian

Celah business logic yang dilewati scanner

Penguji yang berpengalaman menemukan otorisasi yang rusak, alur kerja yang tidak aman, dan celah logika yang spesifik pada aplikasi Anda. Tidak ada tool otomatis yang menangkap hal-hal ini.

Re-testtermasuk

Perbaikan yang terkonfirmasi, bukan sekadar daftar masalah

Setiap temuan diperiksa untuk memastikan ia benar-benar telah ditutup. Bukti audit Anda kemudian menampilkan baik temuan asli maupun perbaikan yang terkonfirmasi.

Laporan yang diterima tim procurement enterprise

Para penguji memegang sertifikasi OSCP dan CEH, dan laporannya disusun dengan cara yang diharapkan oleh auditor ISO 27001 dan tim keamanan enterprise.

FAQ

Common questions.

Seberapa sering kami harus menjalankan penetration test?

Sekali setahun sebagai baseline, ditambah pengujian setelah setiap perubahan signifikan seperti fitur baru, perubahan arsitektur, atau migrasi. Jika Anda menangani pembayaran atau data kesehatan, setiap enam bulan lebih mendekati irama yang tepat. Kami akan memberi Anda jawaban yang jujur tentang apa yang sebenarnya dituntut oleh profil risiko Anda.

Apa perbedaan antara pemindaian kerentanan dan penetration test?

Pemindaian bersifat otomatis. Ia memeriksa sistem Anda terhadap database kerentanan yang sudah diketahui. Pentest bersifat langsung. Penguji yang terampil mengeksploitasi kerentanan itu menggunakan teknik penyerang nyata dan menemukan kerentanan lain yang sama sekali tidak akan terlihat oleh scanner. Output pemindaian adalah titik awal yang berguna untuk pentest, tetapi bukan penggantinya.

Apa yang perlu Anda sediakan untuk memulai?

Statement of work yang ditandatangani, otorisasi tertulis untuk menguji ruang lingkup yang disepakati, kredensial untuk peran pengguna yang kami butuhkan, dan kontak darurat. Kami mengurus selebihnya.

Bagaimana Anda menentukan ruang lingkup sebuah pentest?

Kami menyusunnya bersama Anda di awal: aplikasi, API, jaringan, dan permukaan AI mana yang terlibat, peran pengguna mana yang kami gunakan saat menguji, dan apakah engagement bersifat black box, grey box, atau white box. Kami mendokumentasikan apa yang secara eksplisit berada di luar ruang lingkup agar tidak ada keraguan. Apa pun di luar batas itu tidak kami sentuh.

Metodologi apa yang Anda ikuti?

Pengujian web dan API mengikuti OWASP Testing Guide dan OWASP Top 10, pengujian AI dan LLM mengikuti OWASP LLM Top 10, dan kami memetakan temuan ke CVSS untuk tingkat keparahan. Pekerjaannya manual dan berbasis eksploitasi, bukan hanya scanner, dan itulah yang memunculkan celah business logic. Metodologinya ditulis ke dalam laporan agar Anda bisa melihat persis apa yang dicakup.

Seperti apa laporannya, dan untuk siapa?

Setiap temuan mendapatkan skor CVSS, deskripsi yang jelas, bukti seperti screenshot, langkah reproduksi yang persis, dan panduan remediasi yang spesifik. Ada ringkasan eksekutif untuk pimpinan dan detail teknis lengkap untuk developer Anda. Laporannya disusun dengan cara yang diharapkan auditor ISO 27001 dan tim procurement enterprise.

Apakah pengujian ulang termasuk setelah kami memperbaiki temuan?

Ya. Setelah tim Anda menuntaskan perbaikannya, kami menguji kembali setiap temuan dan mengonfirmasi ia benar-benar telah ditutup. Laporan akhir menampilkan baik temuan asli maupun kondisi yang sudah terverifikasi diperbaiki, yang merupakan bukti audit yang dicari pembeli enterprise. Pengujian ulang adalah bagian dari engagement, bukan tambahan berbayar.

Apakah Anda menguji terhadap produksi atau staging?

Kami lebih memilih lingkungan staging atau pra-produksi yang mencerminkan produksi, sehingga pengujian tidak membawa risiko bagi pengguna atau data nyata. Ketika pengujian produksi benar-benar diperlukan, kami menyepakati aturan pelaksanaan yang hati-hati: jendela pengujian, batas laju, dan kontak darurat yang bisa menghentikan pengujian seketika. Kami tidak pernah menjalankan pengujian destruktif terhadap produksi tanpa persetujuan tertulis yang eksplisit.

Akses dan kredensial apa yang Anda butuhkan dari kami?

Untuk pengujian terautentikasi kami membutuhkan akun untuk setiap peran pengguna dalam ruang lingkup, idealnya termasuk akun privilege rendah dan privilege tinggi agar kami bisa menguji batas otorisasi. Untuk pekerjaan grey atau white box kami mungkin juga meminta diagram arsitektur, dokumentasi API, atau source code. Kami memberi tahu Anda persis apa yang dibutuhkan untuk kedalaman pengujian yang Anda pilih.

Sertifikasi apa yang dipegang penguji Anda?

Penguji kami memegang sertifikasi industri termasuk OSCP dan CEH, dan mereka menguji secara langsung terhadap teknik penyerang nyata, bukan sekadar menjalankan tool. Sertifikasi adalah baseline; hasil engagement dan kualitas laporanlah yang sebenarnya penting. Kami dengan senang hati membagikan kredensial penguji saat scoping.

Contact Us

Have a project in mind? Let's build it.

Dealing with an active incident? Message us on WhatsApp now. For anything else, whether that's a security assessment, DevSecOps work, or a blue team setup, the form below is the place to start. We reply within one working day with a straight read on scope and cost.

Email

info@8grams.tech

Office

Surabaya, Indonesia

Harga mulai

Mulai dari Rp 72.000.000

Proyek umumnya Rp 72–450 juta

Ceritakan tentang proyek Anda

Kami membalas dalam satu hari kerja, dan tidak akan memberi Anda promosi penjualan.

Lebih suka mengobrol? WhatsApp kami