HOTLINE

(0275) 2974 127

CHAT WA 24/7
0859-60000-390 (Sales)
0852-8969-9009 (Support)
Categories: Blog

Mengenal OWASP : Standar Keamanan Website Dunia

Ada banyak versi standar keamanan sampai kalian tidak tahu mana yang benar.Sebenarnya sudah ada sebuah organisasi nirlaba international yang memiliki visi untuk menjaga keamanan cyber, termasuk website, yaitu OWASP atau Open Web Application Security Project.Nah di artikel kali ini kita akan membahas mengenai OWASP sampai OWASP Top 10 ,yaitu sebuah checklist yang menjadi standar keamanan web app di dunia.

Pengertian OWASP

Merupakan sebuah organisasi nirlaba yang fokus bekerja pada keamanan web app.Salah satu prinsip mereka yakni : OWASP memastikan semua informasi dan materi pembelajarannya bisa diakses dengan mudah dan gratis,sehingga semua orang bisa meningkatkan keamanan website.Materi yang disediakan OWASP,berupa dokumentasi,tools,video dan forum.

5 Dokumen OWASP Yang Menjaga Keamanan Website

OWASP menyediakan beberapa dokumen untuk membantu para developer membuat website dan aplikasi yang aman.Berikut adalah 5 dokumen yang sering disebut-sebut sebagai panduan penting bagi developer :

  • OWASP Developer Guide

Panduan ini khusus digunakan untuk developer,ini merupakan salah satu dokumen pertama yang harus kalian download jika ingin memiliki website dan aplikasi yang aman.OWASP sudah banyak melakukan revisi dari awal Tahun 2014 agar panduannya sesuai untuk zaman sekarang.Panduan ini dibuat agar para developer bisa membangun website atau software untuk organisasi mereka dengan menggunakan coding yang memiliki sistem yang aman. Guide ini berisikan prinsip-prinsip yang harus diikuti dalam proses codingnya.

  • OWASP Application Security Verification Standard atau ASVS

OWASP mengambil inisiatif untuk membuat sebuah standar keamanan website yang bisa digunakan di seluruh dunia yang diberi nama Application Security Verification Standard atau ASVS,ini  merupakan sebuah daftar persyaratan untuk memberi tahu para developer apakah sebuah aplikasi itu aman untuk digunakan oleh organisasi, vendor dan customer.Application Security Verification Standard ini sudah dipisahkan ke beberapa level dimana mereka menjelaskan dengan lebih detail untuk berbagai jenis aplikasi dan software.

Ada 3 level yang dibahas yaitu :

  • Opportunistic level untuk software umum.
  • Standard level untuk aplikasi yang mengandung data sensitif.
  • Advanced level untuk aplikasi-aplikasi seperti : aplikasi rumah sakit,software dan aplikasi bank,website dan software pemerintahan dan sejenisnya.

Bisa dibilang ini merupakan resource yang dalam untuk keamanan website karena mereka menjelaskan langkah demi langkah.

  • Security Knowledge Framework

Merupakan sebuah tool yang didesain untuk membantu developer membangun software yang aman. Framework ini dibangun berdasarkan standard ASVS sehingga developer bisa dengan mudah mengerti dan mengimplementasikan persyaratan keamanannya.

  • Developer Cheat Sheet Series

OWASP berkomitmen untuk membantu meningkatkan security website.OWASP ingin menggunakan expertise mereka di bidang keamanan website untuk mengedukasi developer,dengan salah satu caranya adalah membuat Developer Cheat Sheet Series.Organisasi ini meminta bantuan dari pakar keamanan website di seluruh dunia untuk membuat panduan yang lengkap,membahas berbagai kelemahan,protocol keamanan, dan bagaimana mereka ada pada bahasa-bahasa programming terkenal.Developer Cheat sheet series didesain dengan bentuk bullet points,jadi developer bisa mengerti best practice kemanan dan syarat-syarat dengan lebih mudah.

  • OWASP Top 10

Merupakan dokumen penting dari OWASP yang paling terkenal karena berisi daftar checklist,dimana itu berfungsi untuk memastikan apakah website atau aplikasi kalian telah aman atau belum dengan mematuhi 4 kriteria kerentanan,yaitu prevalensi,deteksi,eksploitasi dan dampak bisnis.

  • Prevalensi : dibutuhkan guna mengetahui seberapa besar tingkat kerentanan terhadap ancaman agensi,seperti hacker atau peretas.
  • Deteksi : dibutuhkan guna mengetahui seberapa mudah pihak peretas menemukan suatu kerentanan dalam sebuah aplikasi atau website.
  • Eksploitasi : dibutuhkan guna mengetahui seberapa mudah peretas dalam mengeksploitasi kerentanan sebuah aplikasi atau website saat mereka menemukannya.
  • Dampak bisnis : dibutuhkan guna mengetahui seberapa parah dampak yang terjadi bagi perusahaan saat peretas melakukan eksploitasi.

OWASP Top 10 : Standar Keamanan Website

OWASP Top 10 merupakan sebuah panduan bagi developer dan security team tentang kelemahan -kelemahan pada web apps yang mudah diserang dan harus segera ditangani.Kelemahan ini memudahkan hacker untuk menanam malware,mencuri data atau mengambil alih sepenuhnya website atau komputer kalian.OWASP Top 10 ini biasa diupdate secara rutin oleh sebuah tim yang terdiri dari pakar-pakar keamanan website di seluruh dunia.OWASP merekomendasikan perusahaan-perusahaan untuk memperhatikan kesepuluh masalah yang ada pada dokumen ini untuk mengamankan website dan data mereka dari ancaman hacker.

Berikut kita rangkum penjelasan singkat dari 10 ancaman keamanan website yang ada pada OWASP Top 10 :

  • Injection

Serangan injection terjadi jika ada data tidak terpercaya dikirim ke sebuah code interpreter melalui sebuah formulir input atau cara input data ke website lainnya.Misal : seorang hacker bisa memasukkan kode database SQL melalui sebuah formulir yang sebenarnya hanya meminta data plaintext.Kalau formulir input ini tidak diamankan dengan baik maka kode SQL nya bisa saja dijalankan.Ini merupakan serangan injection SQl.Serangan injection ini bisa dicegah dengan memvalidasi dan membersihkan data yang dimasukkan oleh user.Validasi yang dimaksud yakni menolak data-data terlihat mencurigakan,membersihkan data berarti menghapus semua data-data mencurigakan tersebut.Tidak hanya itu,admin database juga dapat meminimalkan jumlah informasi yang mungkin terexpose ke serangan injection.

  • Broken Authentication

Kelemahan pada sistem login bisa memberi hacker akses ke akun user.Bukan hanya itu,mereka bisa menguasai seluruh sistem dengan menghack akun admin.Untuk memitigasi kelemahan authentication,kalian  bisa menggunakan 2 factor authentication (2FA).

  • Sensitive Data Exposure

Jika sebuah website menyimpan data-data sensitive penggunanya,tentu akan bahaya jika mereka tidak menjaga keamanannya.Untuk mengurangi kemungkinan pencurian data,kalian bisa mengenskripsi data-data sensitifnya.Developer juga harus memastikan bahwa website tidak menyimpan data-data sensitive yang sebenarnya tidak dibutuhkan.

  • XML External Entities

Serangan ke website dan aplikasi yang menganalisa input XML.Input ini bisa mereferensikan entity external untuk mengetahui kelemahan yang ada pada input XMLnya. Entiti external yang dimaksud disini biasanya berupa unit penyimpanan, seperti misalnya hard drive.Analisa input XML bisa dibuat seakan-akan mereka mengirim data ke entity external yang tidak dipercaya, dimana mereka bisa mengirim data-data sensitive ke hackernya langsung. Cara terbaik untuk mengatasi XEE ini adalah dengan memiliki web app yang mengandung jenis data yang tidak terlalu kompleks.

  • Broken Access Control

Access control pada poin ini mengacu kepada sistem control yang mengakses informasi dan fungsionalitas.Access control yang rusak memungkinkan penyerang untuk melewati proses autorisasi dan melakukan hal-hal yang biasanya hanya bisa dilakukan oleh admin.

  • Security Misconfiguration

Saat kesalahan konfigurasi keamanan terjadi ini merupakan kelemahan yang paling sering terjadi di antara kelemahan lain di daftar ini.Biasanya kesalahan terjadi jika hanya menggunakan default konfigurasi tanpa melihat kebutuhan website.

  • Cross Site Scripting

Cross site scripting terjadi pada web app jika web app tersebut mengizinkan user untuk menambahkan kode custom ke sebuah path URL atau ke website yang dilihat oleh user lain.Kelemahan ini biasa dimanfaatkan untuk menjalankan kode JavaScript yang berbahaya pada browser korban.Contoh, jika seorang hacker mengirim email ke korban dengan atas nama bank dan menyertakan link ke website bank tersebut, mereka bisa saja menaruh kode JavaScript berbahaya ke dalamnya.Apabila website bank tidak terlindungi dengan baik,nasabah kalian akan menjadi korban.

  • Insecure Deserialization

Kalian harus mengerti dulu apa arti dari serialisasi dan deserialisasi.Serialisasi adalah proses dimana object diambil dari kode aplikasi dan di-convert ke format lain sehingga bisa digunakan untuk keperluan lain, misalnya menyimpan data ke sebuah disk.Deserialisasi berarti sebaliknya : mengconvert data yang sudah diserialisasi kembali object yang digunakan oleh aplikasinya. Insecure deserialization atau deserialisasi yang kurang aman bisa saja diserang dengan memanfaatkan data dari asal yang tidak dipercaya. Ini bisa menyebabkan terjadinya serangan DDoS.Untuk mencegah ini terjadi,kalian perlu melarang deserialisasi dari data yang tidak dipercaya.

  • Using Components With Known Vulnerabilities

Web developer kebanyakan menggunakan komponen seperti libraries dan frameworks di web app mereka. Komponen-komponen ini merupakan kumpulan software yang menolong developer untuk bekerja dengan lebih efisien.Beberapa hacker biasa mencari kelemahan yang ada pada komponen-komponen ini agar mereka bisa melakukan serangan.Karena itu,developer harus selalu memastikan bahwa komponen-komponen ini sudah diupdate agar tetap aman.

  • Insufficient Logging and Monitoring

Kebanyakan web app tidak mengambil langkah cukup untuk mendeteksi penembusan data.Rata-rata orang baru sadar kalau terjadi penembusan di website mereka setelah 200 hari.Ini tentu memberikan penyerang memiliki banyak waktu untuk melakukan penyerangan.OWASP merekomendasikan developer untuk mengimplementasi logging dan monitoring serta rencana response insiden agar mereka tahu jika ada penyerangan yang terjadi pada aplikasi mereka.

sekian artikel kali ini semoga bisa bermanfaat untuk kalian semua 🙂

Jadilah yang pertama untuk memberi nilai
feni

Recent Posts

Ketrampilan Yang Harus Dikuasai Oleh Business Intelligence Profesionall

3 Skill Business Intelligence Yang Harus di Ketahui Menjadi seorang Business Intelligence tidak semudah yang…

2 days ago

Google Webmaster Tools : Pengertian, Cara Menggunakan, Fitur-Fiturnya

Cara Menggunakan Google Webmaster Tools Google menyediakan alat untuk mempermudah pengindeksan situs web Anda yang…

2 days ago

PENJELASAN RAM PADA KOMPUTER DAN RAM DI HOSTING

Fungsi dan Pengertian RAM Pada Web Hosting Banyaknya pengusaha dan masyarakat yang beralih ke platform…

2 days ago

MANFAAT WEBSITE STATIS DAN WEBSITE DINAMIS YANG BERGUNA UNTUK BISNIS

Perbedaan Website Statis dan Website Dinamis Untuk memahami website statis dan website dinamis ini tidak…

3 days ago

Magento: Software Penjualan Online Yang Tidak Kalah Keren

Seiring berkembangnya teknologi digital dan tumbuhnya e-commerce di Indonesia, banyak bermunculan aplikasi-aplikasi baru. Platform e-commerce…

3 days ago

PENGERTIAN DAN CARA MEMBUAT WEBSITE E-COMMERCE DENGAN MUDAH.

Pahami Cara Membuat Website E-commerce Pada artikel ini Anda akan mendapatkan penjelasan tentang apa itu…

3 days ago