Sejumlah besar arsitektur software yang sedang digunakan menjadi tantangan untuk web developer. Apalagi mengikuti perkembangan pesat pada teknologi dan praktik yang berjalan.
OWASP hadir untuk itu, mereka berfokus pada peningkatan keamanan perangkat lunak. Dengan membawa berbagai alat yang berfungsi untuk membantu memenuhi standar keamanan website.
Tentang OWASP
OWASP a.k.a The Open Web Application Security Project adalah organisasi non-profit yang bertugas pada peningkatan keamanan software.
Hingga saat ini, OWASP telah berhasil membuat berbagai alat yang mampu memenuhi standar web security.
Tugasnya seperti:
- mengindetifikasi kerentanan keamanan dalam aplikasi web secara otomatis.
- menjadi tempat untuk melaksanakan varian dari pola token sinkronisasi. Fungsinya untuk mengurangi resiko serangan pemalsuan permintaan Cross-Site atau Cross-Site Request Forgery (CSRF)
- menyediakan dokumentasi untuk panduan pengujian dan attack vector.
Jadi, OWASP berperan untuk membantu developer menulis lebih baik. Terkait kode yang lebih aman dan memberi konsumen pemahaman yang lebih baik terkait apa saja yang dapat datang nantinya.
Ini termasuk serangan ataupun mitigasi terhadap perangkat lunak.
13 Standar Cakupan OWASP
Secara umum, ada beberapa serangan yang berada di ruang lingkup standar OWASP. Perhatikan daftarnya:
1. SQLi – SQL Injection:
Praktik peretasan dengan penyalahgunaan injeksi kode. Taktik ini berpengaruh dan dapat menghancurkan database Anda.
2. XSS – Cross-site Scripting:
Jenis serangan injeksi yang di mana skrip berbahaya dimasukkan ke website yang tidak berbahaya & terpercaya.
XSS attack terjadi ketika peretas menggunakan aplikasi web untuk mengirim kode berbahaya.
3. LFI – Local File Inclusion:
Teknik attack ini di mana penyerang mengecoh aplikasi web untuk menjalankan dan mengekspos file di server web.
LFI attack ini biasanya mengekspos informasi sensitif. Pada kasus yang lebih serius, mereka dapat menyebabkan XXS dan mengontrol kode jarak jauh.
4. RFI – Remote File Inclusion:
Jenis attack ini menargetkan vulnerability/kerentanan pada aplikasi web yang merefensikan skrip eksternal secara dinamis.
Tujuan serangan ini untuk mengeksploitasi fungsi referensi dalam aplikasi/web untuk mengunggah malware, contohnya backdoor shells dari remote URL di dalam domain yang berbeda.
5. RCE – Remote Code Execution:
RCE merupakan teknik serangan dengan kode jarak jauh. Ini memungkinkan penyerang dapat me-remote kode berbahaya di komputer.
Akibatnya, kerentanan RCE dapat berkisar dari eksekusi malwari hingga penyerang mendapatkan kontrol penuh atas mesin yang diretas.
6. PHP Code Injection:
Ini merupakan kerentanan dalam web yang bisa membuat penyerang untuk menyelipkan kode khusu di mesin scripting pada server web.
7. HTTP Protocol Violations:
Pelanggaran protokol ini adalah semua tindakan perubahan atau penyimpangan yang tidak disetujui dari desain studi dan prosedur yang ada.
8. Shellschock:
Shellshock adalah sebutan umum untuk kerentanan pada pengkodean yang dutemukan di antarmuka pengguna shell bash.
Ini dapat mempengaruhi sistem operasi berbasis unix (termasuk Linux dan Mac OS X). Memungkinkan penyerang mendapatkan kendali penuh dengan sistem remote.
9. Session Fixation:
Serangan session fixation memungkinkan penyerangnya untuk meretas sesi pengguna yang valid.
10. Scanner Detection
Pendeteksi ini digunakan untuk menemukan kerentanan/kelemahan pada suatu sistem tertentu.
11. Metadata/Error Leakages
Kebocoran data adalah transmisi data yang tidak sah dari dalam suatu organisasi ke penerima eksternal. Istilah ini dapat digunakan sebagai gambaran data yang ditransfer secara elektronik atau fisik.
Ancaman jenis ini dapat terjadi melalui aplikasi, web, email, atau di perangkat penyimpanan data seluler.
12. Project Honey Pot Blacklist
Prohject Honey Pot menawarkan umpan spam secara real-time untuk developer.
13. GeoIP Country Blocking
GeoIP country blocking merupakan teknolofu yang bisa memblokir trafik website dari suatu negara. Ini bekerja secara efektif untuk menghentikan aksi peretas untuk menyerang suatu sistem.
Jika 13 daftar teratas terlalu banyak, mari kita ringkas saja tentang resiko keamanan teratas pada OWASP.
TOP 3: Resiko Keamanan OWASP untuk Aplikasi Berbasis Cloud
Injeksi
Mulai dari cacat injeksi, SQL, dan yang lainnya terjadi saat data yang dianggap berbahaya dikirim ke interpreter sebagai bagian dari perintah dan kueri.
Data berbahaya dari peretas dapat mengelabui penerjemah/interpreter untuk mengeksekusi perintah yang tidak diinginkan lalu mengakses data tanpa otoritas yang tepat.
Di bawah ini sebagai contoh keamanan yang buruk. Ketika pernyataan SQL (Structured Query Languange) seperti….
Ini bisa disisipkan pada kolom imput untuk komentar di suatu web.
Otentikasi Rusak
Fungsi dari aplikasi yang terkait dengan otentikasi dan manajemen sesi sering dijalankan dengan tidak tepat.
Masalah ini memungkinkan peretas untuk mengkompromikan kata sandi, token sesim atau juga mengeksploitasi kelemahan lain.
Kuncinya di sini adalah OTENTIKASI, bukan otorisasi.
Untuk pemahaman lebih detail, bersumber dari Codebots. Mereka membagikan video terkait; Security AAA (perbedaan authentication, authorisation and accounting)
video
Mengekspos Data Sensitif
Masih banyak aplikasi, web, dan API tidak melinfungi data sensitif dengan benar. Ini terkait dengan data keuangan, perawatan kesehatan, dan PPI.
Peretas dapat saja mencuri dan mengubah data yang tidak terlindungi dengan baik untuk melakukan;
- penipuan kartu kredit
- pencurian data identitas diri
- penggunaan data orang lain
- kejahatan lainnya
Data senstif dapat diakses peretas jika perlindungan tidak ekstra, dan ini memerljukan tindakan pencegahan khusus.
Apakah Aplikasi-Web Memenuhi Standar OWASP?
Menurut situs Codebots, lebih dari 80% aplikasi mobile memiliki kelemahan kripto, 4 dari 5 aplikasi web diuji dan gagal untuk memenuhi standar keamanan yang sesuai proyek OWASP.