Keberadaan aplikasi yang memiliki tingkat keamanan rendah dapat membahayakan banyak hal penting. Misalnya, data finansial, layanan kesehatan, pertahanan, energi, bahkan infrastruktur krusial. Apalagi, saat ini infrastruktur digital semakin kompleks dan semakin terhubung, menjadikan keamanan aplikasi berbasis web sebagai perhatian utama. OWASP kemudian merilis daftar yang menyangkut keamanan tersebut dalam OWASP Top 10 (2013).
Sebagai pengantar, OWASP adalah organisasi non-profit yang berfokus pada keamanan berbasis web. Orang-orang yang terlibat di dalamnya merupakan voluntir. Di perjalanannya, semua piranti, dokumen, forum, serta cabang organisasi OWASP bersifat gratis dan terbuka bagi setiap orang yang tertarik dalam hal keamanan aplikasi. Hal ini dimaksudkan sebab mayoritas pengembangan keamanan aplikasi membutuhkan partisipasi aktif dari banyak orang di seluruh belahan dunia. Berikut Gamatechno beberkan penjelasan tentang OWASP Top 10.
1. Injection
Dalam praktik penggunaan SQL, OS, dan LDAP, injeksi adalah hal yang sangat riskan untuk terjadi. Injeksi biasanya dilakukan dengan memasukkan data yang tidak terpercaya ke dalam interpreter sebagai bagian dari command atau query. Data yang dimasukkan oleh injektor dapat menipu interpreter untuk mengeksekusi perintah tertentu atau mengakses data rahasia tanpa izin.
2. Broken Authentication and Session Management
Fungsi pada aplikasi berbasis web yang berkaitan dengan autentifikasi dan manajemen sesi seringkali tidak terimplementasikan dengan baik. Apabila hal ini terjadi di level parah, penyerang sistem akan dengan mudah mencuri dan memanfaatkan password serta data pribadi lainnya yang akan merugikan pengguna.
3. Cross-Site Scripting (XSS)
Kelemahan dalam XSS terjadi ketika sebuah aplikasi mengakses data yang tidak terpercaya dan mengirimkannya lewat web tanpa ada konfirmasi validasi sebagaimana mestinya. Kejadian XSS akan memberikan keleluasaan bagi penyerang sistem untuk menggunakan script dari browser guna mengakses web tanpa izin. Misalnya mengarahkan ke website palsu atau bahkan melakukan redirect ke situs berbahaya.
4. Insecure Direct Object References
Objek langsung di sini berkaitan ketika developer mengekspos referensi ke dalam implementasi objek internal. Misalnya ke file, direktori, atau database key. Tanpa memiliki accsess control check dan perlindungan lain, penyerang dapat memanipulasi referensi ini untuk mengakses data rahasia.
5. Security Misconfiguration
Selama ini, sistem keamanan yang bagus membutuhkan konfigurasi yang terjamin guna mengakses aplikasi, framework, web server, aplikasi server, database server, hingga platform. Sebab, setingan default seringkali tidak aman. Selain itu, pembaruan rutin terhadap software pun menjadi sebuah keharusan.
6. Sensitive Data Exposure
Banyak aplikasi berbasis web yang belum melindungi data sensitif secara layak. Misalnya data kartu kredit hingga data autentifikasi. Penyerang sistem sangat mungkin mencuri atau memodifikasi data bersistem pengamanan lemah tersebut untuk melakukan tindakan penipuan, pencurian identitas, atau kriminalitas lain.
7. Missing Function Level Access Control
Mayoritas aplikasi berbasis web akan memverifikasi fungsi akses sebelum membuat fungsi tersebut ada di user interface. Faktanya, aplikasi juga perlu melakukan kontrol akses yang sama ke server tiap kali fungsi itu dijalankan. Apabila permintaan tidak terverifikasi, maka penyerang bisa dengan mudah mengakses fungsi privat tanpa izin.
8. Cross-Site Request Forgery (CSRF)
Cara kerja CSRF adalah dengan memaksa masuk ke browser pengguna yang kemudian mengirimkan permintaan HTTP, termasuk cookies, serta berbagai informasi rahasia yang tersimpan di browser, ke aplikasi web gadungan. Hal ini akan membuat pengguna seolah-olah mengakses aplikasi tersebut secara langsung, padahal tidak.
9. Using Known Vulnerable Components
Komponen dasar seperti database, famework, dan berbagai modul software kebanyakan dijalankan dengan hak penuh. Apabila komponen yang riskan dieksploitasi, bisa menyebabkan kehilangan data dan pengambil-alihan server.
10. Unvalidated Redirects and Forwards
Aplikasi berbasis web yang digunakan user seringkali melakukan redirect dan forward ke halaman lain atau bahkan website lain. Tindakan semacam ini, tanpa validasi yang benar, dapat mengarahkan user ke laman phishing, malware, maupun menggunakannya untuk mengakses laman berbahaya lain.
Tujuan dari OWASP Top 10 di atas sebenarnya sangat sederhana. Yaitu meningkatkan kesadaran publik tentang keamanan aplikasi dengan cara mengidentifikasi hal-hal apa saja yang paling krusial dan sering tidak disadari. Dengan semakin tingginya tingkat keamanan, maka potensi terjadinya tindakan yang bisa merugikan hingga kriminal melalui web bisa semakin ditekan. (anas)
Sumber : https://blog.gamatechno.com/10-celah-keamanan-aplikasi-berbasis-web/
