Mengenal OWASP Sebagai Standar Keamanan Web App Dunia
Keamanan merupakan salah satu faktor yang sangat diperhatikan ketika Anda membuat sebuah website. Jika Anda mencari standar keamanan website di Internet, mungkin Anda akan tambah bingung. Ini dikarenakan ada banyak jenis standar keamanan dan anda pun tidak mengetahui yang benar-benar bagus. Nah, sebenarnya sudah ada sebuah organisasi nirlaba international yang mempunyai visi untuk menjaga keamanan cyber termasuk website, yaitu OWASP (Open Web Application Security Project).
Di artikel ini kami akan membahas pengertian OWASP sampai OWASP Top 10, yaitu sebuah checklist sebagai standar keamanan web app di dunia.
Contents
OWASP : Standar Keamanan Web App Dunia
OWASP merupakan sebuah organisasi nirlaba yang berfokus pada keamanan web app. OWASP banyak menawarkan sumber daya supaya Anda bisa mempelajari lebih lanjut mengenai keamanan web app. Salah satu prinsipnya, OWASP telah memastikan bahwa semua informasi dan materi pembelajarannya dapat diakses dengan mudah dan gratis sehingga semua orang dapat meningkatkan keamanan website mereka. Materi yang mereka tawarkan berupa dokumentasi, tools, video, dan forum.
Baca Juga : Cara Mudah Meningkatkan Keamanan WordPress
5 Dokumen OWASP Untuk Menjaga Keamanan Website Anda
Sebagai salah satu bukti dari komitmen mereka, OWASP telah menyediakan beberapa dokumen untuk membantu para developer dalam membuat website dan aplikasi yang aman. Berikut ini 5 dokumen yang sering disebut sebagai panduan penting untuk para developer.
OWASP Developer Guide
Panduan ini dikhusukan untuk developer yang merupakan salah satu dokumen pertama yang harus Anda download jika Anda ingin mempunyai website dan aplikasi yang aman. Pertama kali dirilis sudah lebih dari 15 tahun lalu, mereka banyak melakukan revisi dari tahun 2014 sepaya panduannya sesuai untuk saat ini.
Guide tersebut dibuat supaya para developer dapat membangun website atau software untuk organisasi mereka dengan memakai coding yang mempunyai sistem yang aman. Guide tersebut berisikan prinsip-prinsip yang harus anda ikuti dalam proses codingnya.
OWASP ASVS (Application Security Verification Standard)
ASVS merupakan sebuah daftar persyaratan untuk memberi tahu kepada para developer apakah sebuah aplikasi itu telah aman untuk dipakai oleh organisasi, vendor, dan customer. ASVS sudah dipisahkan ke beberapa level untuk menjelaskan dengan lebih detail dari berbagai jenis aplikasi dan software. Ada tiga level yang mereka jelaskan yaitu opportunistic level (software umum), standard level (aplikasi yang mengandung data sensitif), dan advanced level (berbagai aplikasi seperti aplikasi rumah sakit, software dan aplikasi bank, situs dan software pemerintahan, dan lainnya). ASVS bisa dibilang merupakan resource untuk keamanan website karena mereka menjelaskan langkah demi langkah.
Security Knowledge Framework
Security Knowledge Framework merupakan sebuah tool yang di-rancang untuk membantu developer membuat software yang aman. Framework ini dibuat berdasarkan standard ASVS sehingga developer dapat dengan mudah mengerti serta mengimplementasikan persyaratan keamanannya.
Developer Cheat Sheet Series
Organisasi ini meminta bantuan dari berbagai pakar keamanan website di seluruh dunia untuk membuat guide yang lengkap, juga membahas berbagai kelemahan, dan protocol keamanan, serta bagaimana mereka ada di berbagai bahasa programming terkenal. Cheat sheet ini di rancang daengan bentuk bullet points jadi developer dapat mengerti best practices kemanan serta syarat-syaratnya dengan lebih mudah.
OWASP Top 10
Dokumen yang terakhir ini merupakan salah satu resource OWASP yang paling terkenal. Mungkin setelah Anda selesai mempelajari semua dokumen di atas, Anda masih memerlukan sebuah checklist untuk memastikan bahwa situs Anda sudah aman atau belum. Jawabannya ada pada dokumen ini. Untuk mengetahui lebih banyak tentangnya, yuk lanjut baca artikelnya.
Baca Juga : Cara Menggunakan ModSecurity di cPanel Untuk Keamanan Website
OWASP Top 10 Merupakan Checklist Standar Keamanan Website
OWASP Top 10 merupakan sebuah panduan bagi para developers dan security team mengenai kelemahan-kelemahan pada web apps yang rentan diserang dan harus segera disiasati. Berbagai kelemahan ini memudahkan penyusup untuk menanamkan malware, mencuri data, atau mengambil alih sepenuhnya situs atau komputer Anda.
Dokumen ini biasanya diupdate secara rutin oleh sebuah tim yang terdiri dari berbagai pakar keamanan website di seluruh dunia. Mereka merekomendasikan berbagai perusahaan untuk memperhatikan kesepuluh masalah yang ada pada dokumen tersebut untuk mengamankan website dan data mereka dari ancaman penyusup.
Berikut ini penjelasan singkat dari kesepuluh ancaman keamanan situs yang ada pada OWASP Top 10 tahun 2017 :
Injection
Serangan ini biasa terjadi jika ada data yang tidak terpercaya dikirimkan ke sebuah code interpreter melewati sebuah formulir input atau cara input data ke situs lainnya. Misalnya, seorang penyusup bisa memasukkan kode database SQL melewati sebuah formulir yang sebenarnya hanya meminta data plaintext.
Jika formulir input tersebut tidak diamankan dengan baik maka kode SQL nya bisa dijalankan. Ini marupakan contoh serangan injection SQL. Nah, serangan injection ini dapat dicegah dengan cara memvalidasi dan membersihkan data yang telah dimasukkan oleh user.
Validasi tersebut adalah menolak berbagai data yang terlihat mencurigakan. Membersihkan data berarti menghapus semua data mencurigakan tersebut. Selain itu, admin database juga dapat meminimalkan jumlah informasi yang mungkin telah terexpose ke serangan injection.
Broken Authentication
Kelemahan di sistem login bisa memberikan hacker akses ke akun user. Selain itu, mereka bisa juga menguasai seluruh sistem dengan meng-hack akun admin. Untuk mengetahui kelemahan authentication, Anda bisa memakai 2-factor authentication (2FA).
Sensitive Data Exposure
Jika sebuah website menyimpan berbagai data sensitive usernya, tentu akan berbahaya jika mereka tidak menjaga keamanannya. Untuk mengurangi kemungkinan resiko pencurian data, Anda dapat mengenskripsi data-data sensitifnya. Developer juga harus memastikan bahwa situs tidak menyimpan data-data sensitive yang tidak dibutuhkan.
XML External Entities
Ini merupakan serangan ke website dan aplikasi yang menganalisa input XML. Input ini dapat mereferensikan entity external untuk dapat mengetahui kelemahan yang ada pada input XMLnya. Entiti external tersebut biasanya berupa unit penyimpanan, seperti hard drive.
Analisa input XML dapat dibuat seakan-akan mereka mengirimkan data ke entity external yang tidak dipercaya, dimana mereka dapat mengirim data-data sensitive ke hacker langsung. Cara terbaik untuk mengatasi hal ini adalah dengan mempunyai web app yang memilik jenis data yang tidak terlalu kompleks.
Broken Access Control
Access control ini mengacu ke sistem control yang mengakses informasi dan fungsionalitasnya. Access control yang bermasalah memungkinkan hacker untuk melewati proses autorisasi serta melakukan hal-hal yang biasanya hanya dapat dilakukan oleh admin.
Security Misconfiguration
Kesalahan konfigurasi keamanan merupakan kelemahan yang paling kerap terjadi di antara kelemahan lain di daftar ini. Biasanya itu terjadi jika Anda hanya memakai default konfigurasi tanpa melihat kebutuhan dari website.
Cross Site Scripting
Kelemahan ini akan terjadi pada web app jika web app menginjinkan user untuk menambahkan kode custom ke sebuah path URL atau ke situs yang dilihat oleh user lain. Kelemahan ini biasanya dimanfaatkan untuk menjalankan kode JavaScript berbahaya pada browser korban.
Misalnya, jika seorang hacker mengirim email ke korban dengan memakai nama bank tertentu dan menyertakan link ke situs bank tersebut, mereka bisa saja menaruh kode JavaScript berbahaya di dalamnya. Jika perlindungan website bank kurang baik , nasabah Anda akan menjadi korbannya.
Insecure Deserialization
Untuk mengerti masalah dari kelemahan ini, kita harus mengetahui dulu apa pengertian dari serialisasi dan deserialisasi. Serialisasi merupakan proses dimana object diambil dari kode aplikasi lalu di-convert ke format lain sehingga dapat digunakan untuk keperluan lain, contohnya menyimpan data ke sebuah disk.
Deserialisasi berarti sebaliknya, meng-convert sebuah data yang sudah diserialisasi kembali object yang dipakai oleh aplikasinya. Insecure deserialization atau deserialisasi yang kurang aman dapat diserang dengan memanfaatkan data dari sumber yang tidak dipercaya. Ini dapat menyebabkan terjadinya serangan DDoS. Untuk mencegah hal ini, Anda perlu melarang deserialisasi pada data yang tidak dipercaya.
Using Components With Known Vulnerabilities
Kebanyakan web developer memakai komponen semacam libraries dan frameworks di web app mereka. Komponen-komponen ini merupakan kumpulan software yang membantu developers untuk bekerja dengan lebih efisien.
Beberapa hacker biasanya mencari kelemahan yang ada pada komponen-komponen tersebut supaya mereka dapat melakukan serangan. Oleh karena itulah, developer harus selalu memastikan bahwa komponen-komponen tersebut sudah diupdate supaya tetap aman.
Insufficient Logging and Monitoring
Kebanyakan web app tidak mengambil langkah selanjutnya untuk mendeteksi penembusan data. Rata-rata orang baru menyadarinya jika terjadi penembusan di situs mereka setelah 200 hari. Ini tentunya memberikan hacker banyak waktu untuk melakukan penyerangan. OWASP telah merekomendasikan developer untuk mengimplementasi logging dan monitoring serta rencana response insiden supaya mereka mengetahui jika ada penyerangan yang terjadi pada aplikasi mereka.
Kesimpulan
Nah, jadi anda sudah mengetahuinya kan sekarang tentang OWASP? Kami berharap dari artikel ini, Anda menjadi lebih mengerti mengenai keamanan website. Semoga dapat membantu Sahabat IDwebhost.
