Halo sahabat aliyhafiz.com, Pada kesempatan kali ini kita akan membahas mengenai tren celah keamanan website berdasarkan owasp, mulai dari pengertian, bahaya, dan cara mengatasinya…disimak ya…
OWASP Top 10 adalah sebuah proyek yang melakukan riset mengenai keamanan website, dan salah satu hasilnya adalah top 10 celah keamanan wesbite yang sering menjadi target hacker. Hasil penelitian dari OWASP ini digunakan sebagai best practice dalam mengamankan website sehingga website tidak mudah diserang oleh hacker. Organisasi ini bersifat terbuka untuk siapa saja yang tertarik untuk meningkatkan keamanan website.
Tentang OWASP
Open Web Application Security Project (OWASP) adalah komunitas terbuka yang didedikasikan untuk memungkinkan organisasi mengembangkan dan memelihara aplikasi dan API yang dapat dipercaya. Kebebasan kami dari tekanan komersial memungkinkan kami memberikan informasi yang tidak memihak, praktis, dan hemat biaya tentang keamanan website. OWASP tidak berafiliasi dengan perusahaan teknologi mana pun, meskipun kami kadang mendukung penggunaan teknologi keamanan komersial.
OWASP menghasilkan banyak penelitian yang bersifat kolaboratif, transparan, dan terbuka. OWASP Foundation adalah entitas nirlaba yang memastikan keberhasilan proyek jangka panjang. Hampir semua orang yang terkait dengan OWASP adalah sukarelawan, termasuk dewan OWASP, pemimpin cabang, pemimpin proyek, dan anggota proyek.
Perangkat lunak yang tidak aman akan berisiko untuk merusak keuangan, pertahanan, energi, dan infrastruktur penting lainnya. Ketika pengembangan perangkat lunak menjadi semakin kompleks, besar, dan terhubung, yang terjadi adalah kesulitan untuk mencapai keamanan website sehingga website menjadi mudah diserang.
Top 10 celah keamanan website oleh OWASP berasal dari pengiriman data perusahaan yang mempunyai spesialisasi dalam bidang keamanan website dan survei industri yang diselesaikan oleh lebih dari 500 orang. Data ini mencakup kerentanan yang dikumpulkan dari ratusan organisasi dan lebih dari 100.000 website.
10 item teratas dipilih dan diprioritaskan sesuai dengan data prevalensi ini, dikombinasikan dengan perkiraan konsensus tentang eksploitasi, kemampuan deteksi, dan dampaknya. Tujuan utama dari Top 10 celah keamanan OWASP ini adalah untuk mendidik pengembang web, perancang, arsitek, manajer, dan organisasi tentang konsekuensi dari kelemahan keamanan aplikasi website yang paling umum dan paling penting.
Top 10 OWASP
Top 10 OWASP menyediakan teknik dasar untuk melindungi dari area masalah berisiko tinggi ini, dan memberikan panduan harus melakukan apa. berikut ini adalah top 10 celah keamanan website OWASP :
#1.Injection
Kelemahan injeksi, seperti SQL, NoSQL, OS, dan injeksi LDAP, terjadi ketika data yang tidak terpercaya dikirim ke penerjemah sebagai bagian dari perintah atau permintaan. Data peretas dapat menipu algoritma sistem untuk mengeksekusi perintah yang tidak diinginkan atau mengakses data tanpa otorisasi yang tepat.
Hampir semua sumber data dapat berupa vektor injeksi, variabel lingkungan, parameter, layanan web eksternal dan internal, dan semua jenis pengguna. Kelemahan injeksi terjadi ketika penyerang dapat mengirim data bermusuhan ke juru bahasa.
#2.Broken Authentication
Fungsi aplikasi yang terkait dengan otentikasi dan manajemen sesi sering diterapkan secara tidak benar, memungkinkan peretas untuk mengambil kata sandi atau token sesi untuk mengeksploitasi kelemahan implementasi lainnya dengan mengasumsikan identitas pengguna lain sementara atau secara permanen.
Penyerang memiliki akses ke ratusan juta kombinasi nama pengguna dan kata sandi yang valid untuk isian kredensial, daftar akun administratif default dan tool brute force. jenis serangan manajemen sesi ini perlu dipahami dengan baik, terutama dengan membuat manajemen sesi yang berubah.
#3.Sensitive Data Exposure
Banyak website dan API tidak melindungi data sensitif dengan benar, seperti data keuangan, layanan kesehatan, data pribadi dan lain-lain. Peretasg dapat mencuri atau memodifikasi data yang tidak dilindungi untuk melakukan penipuan kartu kredit, pencurian identitas, atau kejahatan lainnya. Data sensitif dapat dlindungi dengan menggunakan enkripsi. Peretas biasanya melakukan serangan man-in-middle, atau mencuri data teks yang jelas dari server, saat dalam perjalanan antara server ke client, atau dari klien ke server.
#4.XML External Entities (XXE)
Banyak prosesor XML yang tidak dikonfigurasi dengan baik dengan mengevaluasi referensi entitas eksternal dalam dokumen XML. Entitas eksternal dapat digunakan untuk mengungkapkan file internal menggunakan file URI handler, file internal share, pemindaian port internal, eksekusi kode jarak jauh, dan penolakan serangan service website.
Penyerang dapat mengeksploitasi prosesor XML yang rentan jika mereka dapat mengunggah XML atau memasukkan konten yang bertolak belakang dalam dokumen XML yang bertujuan untuk mengeksploitasi kode yang rentan dan lainnya.
#5.Broken Access Control
Pembatasan akses kontrol kadang tidak dilakukan dengan benar. Peretas dapat mengeksploitasi kelemahan ini untuk mengakses fungsionalitas data yang tidak sah, seperti mengakses akun pengguna lain, melihat file sensitif, memodifikasi data pengguna lain, mengubah hak akses dan lain-lain.
Penggunaan Tool SAST dan DAST dapat mendeteksi ada atau tidak adanya serangan kontrol akses tetapi tidak dapat memverifikasi apakah itu serangan atau bukan. Kontrol akses dapat dideteksi menggunakan cara manual, atau mungkin melalui otomasi karena tidak adanya kontrol akses dalam kerangka kerja tertentu.
#6.Security Misconfiguration
Kesalahan dalam mengkonfigurasi keamanan adalah kesalahan yang sering terjadi. Ini umumnya merupakan hasil dari konfigurasi default yang tidak dirubah, konfigurasi tidak lengkap, menggunakan penyimpanan open cloud, header HTTP yang salah dikonfigurasi, dan pesan kesalahan yang berisi informasi sensitif. Semua sistem operasi, kerangka kerja, perpustakaan, dan aplikasi tidak hanya harus dikonfigurasikan dengan aman, tetapi juga harus ditutup dan ditingkatkan setiap saat.
Peretas akan mengeksploitasi kelemahan seperti akun yang masih setting default, halaman yang tidak digunakan, file dan direktori yang tidak dilindungi atau di enkripsi dan lain-lain untuk mendapatkan akses ke dalam sistem.
#7.Cross-Site Scripting (XSS)
Celah XSS terjadi ketika user memasukkan data yang tidak dipercaya atau skrip tertentu dalam halaman website baru tanpa validasi atau konfigurasi yang benar. XSS memungkinkan peretas untuk mengeksekusi skrip di browser yang dapat membajak sesi pengguna, menghapus situs web, atau mengarahkan pengguna ke situs yang berbahaya.
Sebuah tool dapat mendeteksi celah keamanan XSS ini, dan ada kerangka kerja model untuk eksploitasi yang tersedia secara bebas. Dampak dari celah XSS cukup berbahaya karena bisa dilakukan eksekusi kode jarak jauh pada browser korban kemudian peretas dapat melakukan hal-hal yang sangat tidak diinginkan seperti mencuri data kredensial, sesi, atau mengirimkan malware ke korban.
#8.Insecure Deserialization
Deserialization adalah suatu proses mengubah kembali objek seperti file untuk menjadi byte stream, agar bisa dikirim dalam proses transmisi jaringan. Proses Deserialization yang tidak aman sering menyebabkan eksekusi kode jarak jauh. Bahkan dapat digunakan untuk melakukan serangan, termasuk serangan replay, serangan injeksi, dan serangan privelege escalation.
walaupun begitu, serangan eksploitasi menggunakan deserialisasiini agak sulit, karena eksploitasi jarang sekali bekerja tanpa perubahan atau tweak terhadap kode eksploitasi yang mendasarinya. Dampak serangan deserialisasi ini tidak dapat diabaikan. Kelemahan ini dapat menyebabkan serangan eksekusi kode jauh, salah satu serangan paling serius yang mungkin terjadi.
#9.Using Components with Known Vulnerabilities
Komponen-komponen seperti library yang digunakan, framework, dan modul perangkat lunak lainnya mnejadi rentan untuk dieksploitasi, serangan seperti itu dapat membuat kita kehilangan data atau pengambilalihan server. Meskipun biasanya pengembang library atau framework mengupdate setiap saat namun karena kesalahan kita yang tidak melakukan update maka resiko ini bisa sangat terjadi.
#10.Insufficient Logging & Monitoring
Pencatatan sistem atau sistem log yang tidak dikonfigurasi dengan baik, ditambah dengan respon terhadap insiden yang tidak sensitif, memungkinkan peretas untuk menyerang sistem. Sebagian besar penelitian tentang ini menunjukkan waktu untuk mendeteksi serangan atau kesalahan ini adalah lebih dari 200 hari, biasanya terdeteksi oleh pihak eksternal daripada proses internal atau audit.
Peretas mengandalkan kurangnya pemantauan dan respon tepat waktu untuk mencapai tujuan mereka agat tak terdeteksi. Sebagian besar serangan yang berhasil dimulai dengan pemeriksaan kerentanan. Membiarkan penyelidikan semacam itu berlanjut dapat meningkatkan kemungkinan keberhasilan eksploitasi hingga hampir 100%.
Itulah penjelasan lengkap tentang pengertian celah keamanan website, bahaya, dan cara mengatasinya. semoga bermanfaat…
Ulusannya sangat menarik dan sangat menambah wawasan bagi pembaca khususnya saya sendiri…. Trims ilmunya ya pak……
Ulusannya sangat menarik dan sangat menambah wawasan bagi pembaca khususnya saya sendiri…. Trims untuk ilmu dan wawasannya .
Touche. Great arguments. Keep up the good effort.
Wonderful article! That is the kind of info that are supposed to be shared across the internet.
Disgrace on the seek engines for not positioning this put up upper!