(0275) 2974 127
Ada banyak versi standar keamanan sampai kalian tidak tahu mana yang benar.Sebenarnya sudah ada sebuah organisasi nirlaba international yang memiliki visi untuk menjaga keamanan cyber, termasuk website, yaitu OWASP atau Open Web Application Security Project.Nah di artikel kali ini kita akan membahas mengenai OWASP sampai OWASP Top 10 ,yaitu sebuah checklist yang menjadi standar keamanan web app di dunia.
Merupakan sebuah organisasi nirlaba yang fokus bekerja pada keamanan web app.Salah satu prinsip mereka yakni : OWASP memastikan semua informasi dan materi pembelajarannya bisa diakses dengan mudah dan gratis,sehingga semua orang bisa meningkatkan keamanan website.Materi yang disediakan OWASP,berupa dokumentasi,tools,video dan forum.
OWASP menyediakan beberapa dokumen untuk membantu para developer membuat website dan aplikasi yang aman.Berikut adalah 5 dokumen yang sering disebut-sebut sebagai panduan penting bagi developer :
Panduan ini khusus digunakan untuk developer,ini merupakan salah satu dokumen pertama yang harus kalian download jika ingin memiliki website dan aplikasi yang aman.OWASP sudah banyak melakukan revisi dari awal Tahun 2014 agar panduannya sesuai untuk zaman sekarang.Panduan ini dibuat agar para developer bisa membangun website atau software untuk organisasi mereka dengan menggunakan coding yang memiliki sistem yang aman. Guide ini berisikan prinsip-prinsip yang harus diikuti dalam proses codingnya.
OWASP mengambil inisiatif untuk membuat sebuah standar keamanan website yang bisa digunakan di seluruh dunia yang diberi nama Application Security Verification Standard atau ASVS,ini merupakan sebuah daftar persyaratan untuk memberi tahu para developer apakah sebuah aplikasi itu aman untuk digunakan oleh organisasi, vendor dan customer.Application Security Verification Standard ini sudah dipisahkan ke beberapa level dimana mereka menjelaskan dengan lebih detail untuk berbagai jenis aplikasi dan software.
Ada 3 level yang dibahas yaitu :
Bisa dibilang ini merupakan resource yang dalam untuk keamanan website karena mereka menjelaskan langkah demi langkah.
Merupakan sebuah tool yang didesain untuk membantu developer membangun software yang aman. Framework ini dibangun berdasarkan standard ASVS sehingga developer bisa dengan mudah mengerti dan mengimplementasikan persyaratan keamanannya.
OWASP berkomitmen untuk membantu meningkatkan security website.OWASP ingin menggunakan expertise mereka di bidang keamanan website untuk mengedukasi developer,dengan salah satu caranya adalah membuat Developer Cheat Sheet Series.Organisasi ini meminta bantuan dari pakar keamanan website di seluruh dunia untuk membuat panduan yang lengkap,membahas berbagai kelemahan,protocol keamanan, dan bagaimana mereka ada pada bahasa-bahasa programming terkenal.Developer Cheat sheet series didesain dengan bentuk bullet points,jadi developer bisa mengerti best practice kemanan dan syarat-syarat dengan lebih mudah.
Merupakan dokumen penting dari OWASP yang paling terkenal karena berisi daftar checklist,dimana itu berfungsi untuk memastikan apakah website atau aplikasi kalian telah aman atau belum dengan mematuhi 4 kriteria kerentanan,yaitu prevalensi,deteksi,eksploitasi dan dampak bisnis.
OWASP Top 10 merupakan sebuah panduan bagi developer dan security team tentang kelemahan -kelemahan pada web apps yang mudah diserang dan harus segera ditangani.Kelemahan ini memudahkan hacker untuk menanam malware,mencuri data atau mengambil alih sepenuhnya website atau komputer kalian.OWASP Top 10 ini biasa diupdate secara rutin oleh sebuah tim yang terdiri dari pakar-pakar keamanan website di seluruh dunia.OWASP merekomendasikan perusahaan-perusahaan untuk memperhatikan kesepuluh masalah yang ada pada dokumen ini untuk mengamankan website dan data mereka dari ancaman hacker.
Berikut kita rangkum penjelasan singkat dari 10 ancaman keamanan website yang ada pada OWASP Top 10 :
Serangan injection terjadi jika ada data tidak terpercaya dikirim ke sebuah code interpreter melalui sebuah formulir input atau cara input data ke website lainnya.Misal : seorang hacker bisa memasukkan kode database SQL melalui sebuah formulir yang sebenarnya hanya meminta data plaintext.Kalau formulir input ini tidak diamankan dengan baik maka kode SQL nya bisa saja dijalankan.Ini merupakan serangan injection SQl.Serangan injection ini bisa dicegah dengan memvalidasi dan membersihkan data yang dimasukkan oleh user.Validasi yang dimaksud yakni menolak data-data terlihat mencurigakan,membersihkan data berarti menghapus semua data-data mencurigakan tersebut.Tidak hanya itu,admin database juga dapat meminimalkan jumlah informasi yang mungkin terexpose ke serangan injection.
Kelemahan pada sistem login bisa memberi hacker akses ke akun user.Bukan hanya itu,mereka bisa menguasai seluruh sistem dengan menghack akun admin.Untuk memitigasi kelemahan authentication,kalian bisa menggunakan 2 factor authentication (2FA).
Jika sebuah website menyimpan data-data sensitive penggunanya,tentu akan bahaya jika mereka tidak menjaga keamanannya.Untuk mengurangi kemungkinan pencurian data,kalian bisa mengenskripsi data-data sensitifnya.Developer juga harus memastikan bahwa website tidak menyimpan data-data sensitive yang sebenarnya tidak dibutuhkan.
Serangan ke website dan aplikasi yang menganalisa input XML.Input ini bisa mereferensikan entity external untuk mengetahui kelemahan yang ada pada input XMLnya. Entiti external yang dimaksud disini biasanya berupa unit penyimpanan, seperti misalnya hard drive.Analisa input XML bisa dibuat seakan-akan mereka mengirim data ke entity external yang tidak dipercaya, dimana mereka bisa mengirim data-data sensitive ke hackernya langsung. Cara terbaik untuk mengatasi XEE ini adalah dengan memiliki web app yang mengandung jenis data yang tidak terlalu kompleks.
Access control pada poin ini mengacu kepada sistem control yang mengakses informasi dan fungsionalitas.Access control yang rusak memungkinkan penyerang untuk melewati proses autorisasi dan melakukan hal-hal yang biasanya hanya bisa dilakukan oleh admin.
Saat kesalahan konfigurasi keamanan terjadi ini merupakan kelemahan yang paling sering terjadi di antara kelemahan lain di daftar ini.Biasanya kesalahan terjadi jika hanya menggunakan default konfigurasi tanpa melihat kebutuhan website.
Cross site scripting terjadi pada web app jika web app tersebut mengizinkan user untuk menambahkan kode custom ke sebuah path URL atau ke website yang dilihat oleh user lain.Kelemahan ini biasa dimanfaatkan untuk menjalankan kode JavaScript yang berbahaya pada browser korban.Contoh, jika seorang hacker mengirim email ke korban dengan atas nama bank dan menyertakan link ke website bank tersebut, mereka bisa saja menaruh kode JavaScript berbahaya ke dalamnya.Apabila website bank tidak terlindungi dengan baik,nasabah kalian akan menjadi korban.
Kalian harus mengerti dulu apa arti dari serialisasi dan deserialisasi.Serialisasi adalah proses dimana object diambil dari kode aplikasi dan di-convert ke format lain sehingga bisa digunakan untuk keperluan lain, misalnya menyimpan data ke sebuah disk.Deserialisasi berarti sebaliknya : mengconvert data yang sudah diserialisasi kembali object yang digunakan oleh aplikasinya. Insecure deserialization atau deserialisasi yang kurang aman bisa saja diserang dengan memanfaatkan data dari asal yang tidak dipercaya. Ini bisa menyebabkan terjadinya serangan DDoS.Untuk mencegah ini terjadi,kalian perlu melarang deserialisasi dari data yang tidak dipercaya.
Web developer kebanyakan menggunakan komponen seperti libraries dan frameworks di web app mereka. Komponen-komponen ini merupakan kumpulan software yang menolong developer untuk bekerja dengan lebih efisien.Beberapa hacker biasa mencari kelemahan yang ada pada komponen-komponen ini agar mereka bisa melakukan serangan.Karena itu,developer harus selalu memastikan bahwa komponen-komponen ini sudah diupdate agar tetap aman.
Kebanyakan web app tidak mengambil langkah cukup untuk mendeteksi penembusan data.Rata-rata orang baru sadar kalau terjadi penembusan di website mereka setelah 200 hari.Ini tentu memberikan penyerang memiliki banyak waktu untuk melakukan penyerangan.OWASP merekomendasikan developer untuk mengimplementasi logging dan monitoring serta rencana response insiden agar mereka tahu jika ada penyerangan yang terjadi pada aplikasi mereka.
sekian artikel kali ini semoga bisa bermanfaat untuk kalian semua 🙂
Secara default, WordPress tidak mendukung A/B testing. Tapi jangan khawatir. Di bawah ini, kami telah…
UX design merupakan singkatan dari User Experience design atau desain pengalaman pengguna. Istilah ini sering…
A/B testing adalah prosedur pengujian yang membandingkan dua halaman situs web atau lebih secara bersamaan…
Menemukan topik blog yang menarik dan terkini mungkin tidak mudah, terutama bagi pemula yang belum…
Cara Memonetisasi Blog – Menulis blog pribadi bukan lagi sekedar hobi, kegiatan ini menawarkan peluang…
Membuat blog adalah salah satu cara terbaik untuk berbagi cerita dan kisah Anda sambil terhubung…