Berkenalan dengan OWASP Top 10, Standar Keamanan Website Dunia

Dalam pembuatan website, salah satu faktor yang sangat penting dan perlu perhatian lebih adalah pada sistem keamanannya. Keamanan sebuah website sangatlah penting mengingat begitu banyak data penting dan tersimpan di dalam server website. 

Nah, diantara begitu banyak informasi yang ada di Internet mengenai standar keamanan website yang seharusnya, terdapat salah satu organisasi nirlaba internasional dan mempunyai visi untuk menjaga keamanan cyber, termasuk data-data di dalam website. Organisasi tersebut bernama OWASP kepanjangan dari Open Web Application Security Project.

Pengertian OWASP

Seperti yang telah dijelaskan sebelumnya, OWASP merupakan sebuah organisasi nirlaba yang mempunyai visi untuk menjaga keamanan website dengan banyak menyediakan resource atau sumber daya agar Anda dapat mempelajari lebih lanjut mengenai cara menjaga keamanan website. 

OWASP memberikan kemudahan kepada para web developer profesional untuk dapat mengakses seluruh informasi dan materi mengenai standar keamanan website secara mudah dan gratis. Beberapa materi yang disediakan oleh OWASP mulai dari dokumentasi, video, tools, hingga forum.

Dokumen Penting OWASP

OWASP mempunyai beberapa dokumen yang dapat diakses dengan mudah oleh para developer agar membuat website dan aplikasi yang mereka buat aman. Beberapa dokumen penting tersebut, antara lain yaitu:

OWASP Developer Guide

Merupakan sebuah panduan yang ditujukan khusus untuk para developer website dan aplikasi untuk membuat website dan aplikasi yang Anda buat aman. Dokumen ini adalah dokumen pertama yang wajib Anda download sebelum memiliki dokumen yang lainnya. Sejak dirilis lebih dari 15 tahun yang lalu, developer guide OWASP ini telah banyak melakukan revisi agar sesuai dengan perkembangan teknologi yang ada.

Baca Juga: Web security : Unrestricted File Upload Mengancam Keamanan Website

Di dalam dokumentasi ini terdapat beberapa panduan yang akan membantu para developer dalam membangun sebuah website atau software menggunakan coding dengan sistem yang aman.

OWASP ASVS (Application Security Verification Standard)

Saat ini belum ada satupun metode yang dapat dijadikan tolok ukur yang menjelaskan standar keamanan website secara keseluruhan. Karena itu, OWASP membuat sebuah panduan standar keamanan website yang dapat digunakan di seluruh dunia. Panduan ini diberi nama Application Security Verification Standard atau ASVS.

ASVS merupakan sebuah daftar persyaratan yang berfungsi untuk membantu para developer dalam mengetahui apakah sebuah website atau aplikasi yang telah mereka buat aman untuk digunakan, baik oleh organisasi, customer, atau vendor.

Terdapat tiga level ASVS yang perlu Anda ketahui, yaitu opportunistic level yang biasa digunakan untuk software umum, standard level untuk aplikasi yang didalamnya terdapat data-data penting, serta advanced level yang biasa digunakan untuk aplikasi rumah sakit, bank, pemerintahan, dan berbagai aplikasi atau website sejenisnya. Dokumen ASVS juga menjelaskan langkah demi langkah yang bisa Anda lakukan untuk menjaga keamanan website Anda.

Security Knowledge Framework

Merupakan sebuah tool yang dibuat dan dirancang untuk membantu para developer untuk membangun sebuah website atau software yang aman. Framework ini dibangun sesuai dengan standard ASVS yang membuat para developer dengan mudah mengerti dan memahami dalam mengimplementasikan persyaratan keamanan yang telah ditetapkan.

Developer Cheat Sheet Series

Merupakan sebuah guide atau panduan yang menjelaskan mengenai berbagai macam kelemahan, protokol keamanan, serta bagaimana melakukan keamanan menggunakan bahasa pemrograman yang populer. Developer Cheat Sheet Series dibuat dengan meminta bantuan para pakar-pakar keamanan website yang berasal dari seluruh dunia sehingga isinya berupa panduan yang lengkap dan mendalam mengenai keamanan website.

Selain itu, dengan desain berbentuk bullet points, membuat para developer dapat dengan mudah memahami dan mengerti syarat-syarat dari standar keamanan website sebenarnya.

Baca Juga: 3 Dampak Serangan Clickjacking karena Lemahnya Sistem Keamanan Website

OWASP Top 10

Merupakan salah satu dokumen penting OWASP paling terkenal karena berisi daftar checklist yang berfungsi untuk memastikan apakah website atau aplikasi Anda telah aman atau belum dengan mematuhi empat kriteria kerentanan, yaitu prevalensi, deteksi, eksploitasi, dan dampak bisnis.

  • Prevalensi dibutuhkan untuk mengetahui seberapa besar tingkat kerentanan terhadap ancaman agensi, seperti hacker atau peretas
  • Deteksi dibutuhkan untuk mengetahui seberapa mudah pihak peretas menemukan suatu kerentanan dalam sebuah aplikasi atau website
  • Eksploitasi dibutuhkan untuk mengetahui seberapa mudah peretas dalam mengeksploitasi kerentanan sebuah aplikasi atau website saat mereka menemukannya.
  • Dampak bisnis dibutuhkan untuk mengetahui seberapa parah dampak yang terjadi bagi perusahaan saat peretas melakukan eksploitasi.

Daftar OWASP 10 untuk Standar Keamanan Website

Injeksi

Injeksi sangat riskan terjadi pada website atau aplikasi yang menggunakan SQL, QS, atau LDAP. Prakteknya dengan memasukkan data yang tidak terpercaya ke interpreter sehingga dibaca sebagai bagian dari command atau query. Hal ini akhirnya membuat interpreter salah dalam melakukan eksekusi perintah sehingga membuat peretas akhirnya bisa mengakses berbagai data penting tanpa izin.

Kerusakan autentikasi

Aplikasi berbasis web mempunyai fitur autentikasi dan manajemen sesi namun developer seringkali tidak mengimplementasikan kedua fitur tersebut dengan baik sehingga membuat peretas dapat dengan mudah mencuri serta memanfaatkan password dan data pribadi lainnya.Data sensitif terpapar

Jika website atau aplikasi berbasis web tidak terlindungi dengan baik, maka peretas akan dapat mencuri atau memodifikasi data yang terlindungi dengan pengamanan lemah tersebut untuk digunakan kegiatan yang ilegal, seperti melakukan penipuan, pencurian identitas, atau berbagai aktivitas kriminalitas lainnya.

XML External Entities (XXE)

Merupakan serangan ke website atau aplikasi dengan cara menganalisa input XML. Prosesnya adalah peretas seakan-akan mengirimkan data ke entity external yang tidak dipercaya dan mengirimkan berbagai data penting dan sensitif ke peretas secara langsung.

Mengontrol akses rusak

Pada umumnya, website atau aplikasi berbasis web akan melakukan verifikasi fungsi akses sebelum fungsi tersebut dibuat di user interface. Namun jika permintaan tidak terverifikasi, maka penyerang dapat dengan mudah mengakses fungsi privat tanpa memperoleh izin terlebih dahulu.

Kesalahan dalam konfigurasi keamanan website atau aplikasi

Pada umumnya, sistem keamanan website atau aplikasi yang bagus dibutuhkan konfigurasi yang aman dan terjamin untuk dapat mengakses aplikasi, framework, web server, dan berbagai hal lainnya. Karena itu sangat tidak disarankan untuk mensetting keamanan website dengan sistem default agar hal ini tidak terjadi.

Baca Juga: Kerentanan Keamanan Website di Sistem Apache HTTP Server ( Jan 2019 )

Cross-Site Scripting (XSS)

Salah satu kelemahan dalam XSS adalah saat sebuah aplikasi mengakses data yang tidak terpercaya lalu mengirimkannya melalui web tanpa adanya konfirmasi validasi yang seperti seharusnya. Hal ini tentu akan membuat peretas akan lebih leluasa dalam menyerang script dari browser untuk bisa mengakses web tanpa izin.

Deserialisasi yang tidak aman

Deserialisasi adalah mengconvert data yang sebelumnya telah diserialisasi terlebih dahulu. Dalam hal ini, pihak peretas biasanya akan menyerang dengan cara memanfaatkan data yang berasal dari sumber yang tidak dipercaya atau dengan kata lain peretas melakukan penyerangan menggunakan metode DDoS.

Menggunakan komponen yang tidak diketahui bagaimana keamanannya

Dalam sebuah website atau aplikasi, biasanya terdapat beberapa komponen dasar yang tidak dapat diabaikan, seperti database, framework, dan berbagai modul lainnya yang biasanya dijalankan dengan hak penuh. Bayangkan saja jika komponen tersebut riskan untuk dieksploitasi oleh peretas sehingga membuat Anda kehilangan hak penuh dari komponen-komponen tersebut.

Tidak memadainya pencatatan dan pemantauan

Biasanya kebanyakan website atau aplikasi berbasis web mempunyai fitur redirect dan forward ke halaman lain atau website lain. Namun jika tidak digunakan dengan tepat dan benar, akan mengarahkan Anda ke halaman yang mengandung phishing, malware atau halaman berbahaya lainnya.

Itulah beberapa daftar OWASP top 10 yang perlu Anda ketahui dan dapat dijadikan panduan Anda dalam membuat sebuah website atau aplikasi.

Jika Anda ingin mengetahui apakah website yang Anda miliki telah sesuai dengan standar keamanan website terbaru dari OWASP, Anda dapat mengetahuinya melalui jasa layanan pentest dari Logique Digital Indonesia.

Logique Digital Indonesia memberikan layanan jasa pemeriksaan keamanan website berstandar dunia.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Related Posts