Mengenal OWASP top 10, Saat membuat website, faktor yang sangat penting yang perlu di perhatikan adalah sistem keamanan. Keamanan sebuah website sangat penting karena banyak data penting yang tersimpan di server website itu.
Maka diantara banyaknya informasi di internet tentang standar keamanan website harus ada sebuah organisasi nirlaba internasional yang visinya menjaga keamanan jaringan, termasuk data di website. Organisasi ini di sebut OWASP top 10, yang merupakan singkatan dari Open Web Application Security Project.
Mengenal Owasp Top 10, Standar Keamanan Website Dunia
Seperti yang di jelaskan sebelumnya, OWASP top 10 adalah organisasi nirlaba yang memiliki visi untuk menjaga keamanan situs website dengan menyediakan berbagai sumber daya tempat kamu dapat mempelajari lebih lanjut tentang cara menjaga keamanan situs website.
OWASP Taop 10 memberi pengembang web profesional akses mudah dan gratis ke semua informasi dan dokumentasi yang terkait dengan standar keamanan situs website. Ada beberapa materi yang di sediakan oleh OWASP mulai dari dokumen, video, tools, forum dll.
OWASP memiliki sejumlah dokumen yang tersedia bagi pengembang untuk membantu mengamankan situs website dan aplikasi yang mereka amankan. Beberapa dokumen penting tersebut antara lain:
· Owasp Top 10 Developer Guide
Ini adalah panduan khusus untuk pengembang OWASP top 10 dan aplikasi untuk mengamankan situs website dan aplikasi yang kamu buat. Ini merupakan dokumen pertama yang harus kamu unggah sebelum dokumen lain tersedia.
Sejak di rilis lebih dari 15 tahun yang lalu, OWASP Developer Guide telah melakukan banyak modifikasi untuk mengelompakkan perkembangan teknologi yang ada. Dokumen ini berisi beberapa pedoman yang akan membantu pengembang membuat situs website atau perangkat lunak menggunakan enkripsi dengan sistem yang aman.
· Asvs (Application Security Verification Standard)
Saat ini, masih belum ada satu metode pun yang dapat di jadikan acuan untuk menggunakan standar keamanan website global. Untuk itu, OWASP top 10 telah membuat Asvs sebagai standar keamanan website yang dapat di gunakan di seluruh dunia.
Asvs ini di sebut Application Security Verification Standard. ASVS adalah daftar persyaratan yang membantu pengembang menentukan apakah situs website atau aplikasi yang mereka buat aman untuk di jalnkan, baik oleh organisasi, pelanggan, atau vendor.
Ada 3 level ASVS yang perlu kamu waspadai, yaitu level peluang yang biasa di gunakan untuk perangkat lunak umum, level standar untuk aplikasi kritis data, dan level lanjutan yang biasa di gunakan untuk aplikasi rumah sakit, bank, dan pemerintah.
· Security Knowledge Framework
Adalah alat yang dibuat dan dirancang untuk membantu pengembang membangun situs website atau perangkat lunak yang aman. Security Knowledge Framework ini di bangun sesuai dengan standar ASVS untuk membantu pemrogram dengan mudah memahami penerapan persyaratan keamanan yang di tentukan.
· Developer Cheat Sheet Series
Guide atau panduan yang menjelaskan jenis-jenis kelemahan, protokol keamanan, dan cara memastikan keamanan dalam bahasa pemrograman populer. Seri OWASP top 10 Cheat Sheet di buat dengan mengundang pakar keamanan situs website dari seluruh dunia untuk menyediakan konten sebagai panduan keamanan situs website yang lengkap dan mendalam.
OWASP Top 10
Ini adalah salah satu dokumen kunci OWASP Top 10 yang paling terkenal karena berisi daftar periksa yang membantu menentukan apakah situs website atau aplikasi kamu aman. Dengan memenuhi empat kriteria kerentanan, yaitu prevalensi, eksploitasi, dan dampak bisnis.
- Prevalensi di perlukan untuk menentukan kerentanan suatu instansi terhadap ancaman, seperti hacker atau peretas
- Deteksi di perlukan untuk mengetahui betapa mudahnya peretas menemukan kerentanan di aplikasi atau situs website
- Eksploitasi di perlukan untuk mengetahui betapa mudahnya peretas mengetahui kerentanan dalam aplikasi atau situs website ketika mereka menemukannya.
- Dampak bisnis di perlukan untuk menentukan tingkat keparahan dampak terhadapnya bisnis ketika peretas mengeksploitasinya.
Owasp 10 Untuk Standar Keamanan Website
Sangat berisiko terjadi infeksi pada website atau aplikasi yang menggunakan SQL, QS, atau LDAP. Tapi jangan khawatir karena masih ada cara untuk menghentikannya yaitu dengan meneruskan data yang tidak di percaya ke juru bahasa untuk di baca sebagai bagian dari perintah.
Pada akhirnya menyebabkan penerjemah salah mengeksekusi perintah sehingga peretas dapat mengakses berbagai data penting tanpa izin.
· Kerusakan Autentikasi
Aplikasi website memiliki fitur autentikasi dan manajemen sesi, tetapi pengembang seringkali tidak menggunakan kedua fitur ini dengan baik. Sehingga peretas dapat dengan mudah mencuri dan mendapatkan kata sandi dan data pribadi kernel lainnya.
Jika situs website atau aplikasi website tidak di lindungi dengan baik, peretas akan dapat mencuri atau memodifikasi data dengan perlindungan keamanan yang lemah untuk di gunakan dalam aktivitas ilegal. Seperti penipuan, pencurian identitas, atau banyak aktivitas kriminal lainnya.
· XML External Entities (XXE)
Serangan pada situs website atau aplikasi dengan menganalisa input XML. Prosesnya adalah peretas seolah-olah mengirimkan data ke entitas eksternal yang tidak di percaya dan mengirimkan berbagai data sensitif dan penting langsung ke peretas.
· Mengontrol Akses Rusak
Umumnya, situs website atau aplikasi web menguji fungsionalitas aksesibilitas sebelum fungsionalitas di buat di antarmuka pengguna. Tapi apabila permintaan tersebut tidak di verifikasi, penyerang dapat dengan mudah mengakses fungsi privat tanpa meminta izin terlebih dahulu.
Kesalahan Dalam Konfigurasi Keamanan Website Atau Aplikasi
Secara umum, sistem keamanan situs website atau aplikasi yang baik membutuhkan pengaturan yang aman dan terjamin untuk dapat mengakses aplikasi, kerangka kerja, server web, dan lainnya. Karena keamanan situs tidak boleh di atur ke sistem default sehingga kesalahan itu tidak akan terjadi.
· Cross-Site Scripting (XSS)
Salah satu kelemahan OWASP top 10 XSS adalah ketika sebuah aplikasi mengakses data yang tidak di percaya dan kemudian mengirimkan data tersebut melalui website tanpa validasi yang tepat. Ini tentu saja akan memberi hacker lebih banyak fleksibilitas untuk menyerang skrip browser untuk mengakses website tanpa izin.
· Yang Tidak Deserialisasi Aman
Deserialisasi mengubah data yang telah di dapatkan. Dalam hal ini, hacker sering menyerang menggunakan data dari sumber yang tidak terpercaya atau dengan kata lain hacker melakukan serangan DDoS.
· Memiliki Beberapa Komponen Dasar
Di dalam sebuah website atau aplikasi seringkali terdapat beberapa komponen dasar yang tidak dapat di abaikan seperti database, framework dan masih banyak modul lainnya yang seringkali tereksekusi secara penuh. Bayangkan jika komponen tersebut beresiko di retas oleh hacker sehingga kamu akan kehilangan semua hak atas komponen tersebut.
· OWASP Top 10 Memiliki Fungsi Pengalihan
Biasanya, sebagian besar situs website atau aplikasi memiliki fungsi pengalihan dan penerusan ke halaman atau situs website lain. Namun, jika tidak di gunakan dengan baik dan benar, itu akan mengarahkan kamu ke halaman yang berisi phishing, malware, atau situs berbahaya lainnya.
Itu saja penjelasan kita tentang mengenal OWASP top 10, standar keamanan website dunia yang bisa kita sampaikan. Terima kasih semoga bermanfaat.
