Banyak tim IT dan bisnis menganggap pentest bisa selesai dalam hitungan hari. Faktanya, durasi sangat bergantung pada kompleksitas aplikasi. Data dari OWASP menunjukkan bahwa lebih dari 60 persen aplikasi web masih memiliki kerentanan tingkat menengah hingga tinggi, yang berarti proses pengujian tidak bisa sekadar scan otomatis, tetapi perlu validasi manual yang memakan waktu. Sumber: https://owasp.org/www-project-top-ten/
Selain itu, laporan Verizon juga menunjukkan bahwa sebagian besar pelanggaran keamanan berasal dari eksploitasi kerentanan yang sebenarnya sudah lama ada. Ini memperkuat bahwa pentest yang terburu-buru sering melewatkan celah penting.
Sumber: https://www.verizon.com/business/resources/reports/dbir/
Estimasi Waktu Pentest Website
Secara umum, durasi pentest website berkisar:
- Website sederhana: 3 sampai 5 hari kerja
- Website menengah: 1 sampai 2 minggu
- Website kompleks atau enterprise: 2 sampai 4 minggu
Faktor yang Mempengaruhi Durasi
Beberapa faktor utama yang menentukan lama proses:
- Scope aplikasi
- Jumlah halaman, endpoint, API
- Kompleksitas sistem
- Login, role-based access, integrasi pihak ketiga
- Jenis testing
- Black box, gray box, atau white box
- Kedalaman pengujian
- Hanya automated scan atau manual exploitation
- Kualitas dokumentasi
- API docs, user flow, akses testing
Breakdown Tahapan Pentest dan Durasi
| Tahapan Pentest | Aktivitas Utama | Estimasi Waktu |
|---|---|---|
| Planning & Scoping | Menentukan target, scope, akses | 1–2 hari |
| Reconnaissance | Mapping aplikasi, crawling, identifikasi endpoint | 1–3 hari |
| Vulnerability Assessment | Scanning + identifikasi potensi celah | 2–5 hari |
| Exploitation (Manual Test) | Validasi dan eksploitasi kerentanan | 2–7 hari |
| Reporting | Dokumentasi temuan + rekomendasi | 2–4 hari |
| Retesting (opsional) | Validasi setelah perbaikan | 1–3 hari |
Contoh Real Case Durasi
- Landing page company profile
Biasanya selesai dalam 3 hari karena tidak banyak logic kompleks - SaaS dashboard dengan authentication dan role
Rata-rata 10 sampai 14 hari karena banyak attack surface - Fintech atau e-commerce dengan payment integration
Bisa 3 sampai 4 minggu karena butuh validasi mendalam pada flow transaksi
QnA
Q: Kenapa tidak bisa selesai dalam 1–2 hari saja?
Karena pentest bukan hanya scan. Harus ada validasi manual untuk memastikan apakah celah benar-benar bisa dieksploitasi.
Q: Apakah tools otomatis cukup?
Tidak. Tools hanya menemukan potensi. Tanpa manual testing, banyak false positive dan missed vulnerability.
Q: Apa yang paling memperlambat proses?
Scope yang tidak jelas dan akses yang terlambat diberikan. Ini sering jadi bottleneck utama.
Q: Apakah semua website butuh waktu lama?
Tidak. Website statis bisa cepat. Tapi aplikasi dengan login, API, dan transaksi akan lebih lama.
Q: Apakah bisa dipercepat?
Bisa, jika:
- Scope jelas sejak awal
- Akses disiapkan lengkap
- Dokumentasi tersedia
- Ada prioritas area kritikal
Insight untuk Decision Maker
Jika Anda ingin efisien tanpa mengorbankan kualitas:
- Fokus pada critical assets terlebih dahulu
- Gunakan pendekatan phased pentest
- Pastikan ada retesting setelah fix
- Pilih vendor yang jelas metodologinya, bukan hanya tools
Kesimpulan
Durasi pentest website bukan soal cepat atau lama, tapi soal kedalaman dan akurasi. Rata-rata proyek berada di rentang 1 sampai 2 minggu untuk aplikasi bisnis umum. Jika selesai terlalu cepat, ada risiko celah penting tidak terdeteksi.
Pendekatan terbaik adalah menyesuaikan scope dengan risiko bisnis, bukan sekadar mengejar timeline.
