Upload
icebergblue9
View
215
Download
0
Embed Size (px)
Citation preview
8/18/2019 Owasptop 10 2010
1/22
Versi Indonesia
8/18/2019 Owasptop 10 2010
2/22
Tentang OWASPO
ak Cipta dan Lisensi
Hak Cipta © 2003 – 2010 Yayasan OWASP
Dokumen ini dirilis di bawah lisensi Creative Commons Attribution ShareAlike 3.0. Untuk pengguna
kembali atau distribusi, anda harus menjelaskan lisensi pekerjaan ini.
ata Pengantar
tware yang tidak aman telah mengancam infrastruktur
uangan, kesehatan, pertahanan, energi, dan infrastruktur
ikal lainnya. Dengan semakin kompleks dan terhubungnya
astruktur digital kita, kesulitan mencapai keamanan
kasi meningkat secara eksponensial. Kita tidak dapat lagi
ntoleransi masalah keamanan sederhana seperti yang
ampilkan dalam OWASP Top 10.
uan proyek Top 10 adalah meningkatkan kesadaran
tang keamanan aplikasi dengan mengidentifikasi
berapa risiko kritikal yang dihadapi organisasi. Proyek Top
menjadi acuan beragam standar, buku, alat, dan
anisasi, termasuk MITRE, PCI DSS, DISA, FTC, dan banyak. Rilis OWASP Top 10 ini menandai tahun ke-8 proyek
ningkatan kesadaran pentingnya risiko keamanan aplikasi.
WASP Top 10 pertama kali dirilis tahun 2003, update minor
da tahun 2004 dan 2007, dan ini adalah rilis tahun 2010.
mi mendorong anda menggunakan Top 10 untuk memulai
manan aplikasi pada organisasi anda. Pengembang dapat
ajar dari kesalahan organisasi lain. Manajemen harus
lai berpikir bagaimana mengelola risiko yang ditimbulkan
h aplikasi pada perusahaan mereka.
mun Top 10 bukanlah program keamanan aplikasi.
ikutnya, OWASP merekomendasikan organisasi membuat
dasan kuat untuk pelatihan, standar, dan alat yang
mungkinan pembuatan kode yang aman. Di atas landasan
organisasi harus mengintegrasikan keamanan pada
ses pengembangan, verifikasi, dan pemeliharaan.
najement dapat menggunakan data yang dihasilkan
ivitas ini untuk mengelola biaya dan risiko terkait dengan
manan aplikasi.
mi harap OWASP Top 10 bermanfaat bagi usaha keamanankasi anda. Jangan ragu untuk menghubungi OWASP
ngan pertanyaan, komentar, dan ide anda, baik secara
buka ke [email protected] atau tertutup
p://www.owasp.org/index.php/Top_10
Tentang OWASP
Open Web Application Security Project (OWASP) adal
komunitas terbuka yang didedikasikan untuk memungkink
organisasi mengembangkan, membeli, dan memeliha
aplikasi yang dapat dipercaya. Di OWASP anda ak
menemukan free and open …
• Tool dan standar keamanan aplikasi
• Buku tentang uji keamanan aplikasi, pengembangan ko
aman, dan review kode keamanan
• Kendali keamanan dan pustaka standar
• Cabang lokal di seluruh dunia
• Riset terkini
• Konferensi lengkap di seluruh dunia
• Mailing list
• Dan banyak lagi … di www.owasp.org
Seluruh tool , dokumen, forum, dan cabang OWASP bebas d
terbuka bagi semua orang yang tertarik memperba
keamanan aplikasi. Kami mendukung pendekatan keaman
aplikasi sebagai masalah person, proses, dan teknologi kare
pendekatan paling efektif ke keamanan aplikasi membutuhk
perbaikan di seluruh area ini.
OWASP adalah jenis organisasi baru. Kebebasan kami dtekanan komersial memungkinkan kami memberikan inform
terkait keamanan aplikasi yang tidak bias, praktis, efekt
biaya. OWASP tidak terafiliasi dengan perusahaan teknolo
manapun, meskipun kami mendukung penggunaan teknolo
keamanan komersial. Serupa dengan banyak proyek softwa
open-source, OWASP menghasilkan beragam jenis mat
dengan cara kolaborasi dan terbuka.
Yayasan OWASP merupakan entitas non-profit ya
memastikan sukses jangka panjang proyek. Hampir sem
yang terasosiasi dengan OWASP adalah sukarelawan, termasDewan OWASP, Komite Global, Pemimpin Cabang, Pemimp
Proyek, dan anggota proyek. Kami mendukung riset keaman
inovatif dengan grant dan infrastruktur.
Bergabunglah dengan kami!
http://www.owasp.org/index.php/Industry:Citationshttp://www.owasp.org/index.php/Industry:Citationsmailto:[email protected]://www.owasp.org/index.php/Top_10http://www.owasp.org/http://www.owasp.org/http://www.owasp.org/index.php/Top_10mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]://www.owasp.org/index.php/Industry:Citationshttp://www.owasp.org/index.php/Industry:Citationshttp://creativecommons.org/licenses/by-sa/3.0/
8/18/2019 Owasptop 10 2010
3/22
elamat Datang
amat Datang di OWASP Top 10 2010! Pembaruan signifikan ini menampilkan daftar yang lebih rinci, berfokus risiko atas T
Most Critical Web Application Security Risks. OWASP Top 10 adalah selalu mengenai risiko, namun versi pembaruan
mbuatnya lebih jelas dibanding edisi sebelumnya. Ia juga menyediakan informasi tambahan tentang bagaima
mprakirakan risiko-risiko ini dalam aplikasi anda.
tuk setiap hal dalam top 10, rilis ini mendiskusikan kemungkinan dan faktor konsekuensi yang digunakan unt
ngkategorikan severity umum risiko. Ia lalu menampilkan panduan bagaimana memverifikasi bila anda memiliki masalah
a ini, bagaimana menghindarinya, beberapa contoh cacat, dan petunjuk ke informasi lebih lanjut.
uan utama OWASP Top 10 adalah untuk mendidik pengembang, desainer, arsitek, manajer, dan organisasi tenta
nsekuensi kelemahan keamanan aplikasi web yang paling penting. Top 10 memberi teknik dasar untuk melindungi d
salah berisiko tinggi ini – dan juga menyediakan panduan arah setelahnya.
eringatan
gan berhenti di 10. Terdapat ratusan isu yang dapat
mpengaruhi keamanan aplikasi web sebagaimana
iskusikan dalam OWASP Developer’s Guide. Ia adalah
aan penting untuk mereka yang membuat aplikasi web.
nduan tentang bagaimana menemukan kerentanan secara
ktif dalam aplikasi web ada di OWASP Testing Guide dan
WASP Code Review Guide, yang telah mengalami
mbaruan signifikan sejak rilis OWASP Top 10 sebelumnya.
ubahan konstan. Top 10 ini akan terus berubah. Bahkan
pa merubah satu baris dalam kode aplikasi, anda mungkin
ah rentan ke sesuatu yang belum diketahui. Silakan lihat
ihat di akhir Top 10 dalam “ Apa Selanjutnya Bagi
ngembang, Verifier, dan Organisasi ” untuk informasi lebih
jut.
rpikir positif . Ketika anda siap berhenti mengejar
entanan dan berfokus menetapkan kendali keamanan
g kuat, OWASP telah memproduksi Application Securityification Standard (ASVS) sebagai panduan bagi reviewer
anisasi dan aplikasi mengenai hal yang diverifikasi.
nakan alat secara bijaksana. Kerentanan keamanan dapat
sifat kompleks dan terkubur dalam gunungan kode.
am semua kasus, pendekatan paling efektif menemukan
n menghilangkan kelemahan ini adalah manusia ahli
ngan alat yang baik.
rong ke kiri. Aplikasi web yang aman tercipta ketika
unakan secure software development lifecycle. Sebagai
nduan mengimplementasikan SDLC aman, kami telah
rilis Open Software Assurance Maturity Model (SAMM),
mbaruan signifikan atas OWASP CLASP Project.
Penghargaan
Terima kasih kepada Aspect Security untuk memu
memimpin, dan memperbarui OWASP Top 10 sejak tah
2003, dan kepada para penulis utamanya: Jeff Williams d
Dave Wichers.
Kami ingin berterima kasih kepada organisasi yang te
memberikan data kerentanan untuk mendukung pembaru
ini :
Aspect Security
MITRE – CVE
Softtek
WhiteHat Security Inc. – Statistics
Kami juga berterima kasih kepada mereka yang telah memb
kontribusi atas isi yang signifikan atau melakukan review at
Top 10: Mike Boberski (Booz Allen Hamilton)
Juan Carlos Calderon (Softtek)
Michael Coates (Aspect Security)
Jeremiah Grossman (WhiteHat Security Inc.)
Jim Manico (for all the Top 10 podcasts)
Paul Petefish (Solutionary Inc.)
Eric Sheridan (Aspect Security)
Neil Smithline (OneStopAppSecurity.com)
Andrew van der Stock
Colin Watson (Watson Hall, Ltd.)
OWASP Denmark Chapter (Led by Ulf Munkedal)
OWASP Sweden Chapter (Led by John Wilander)
P Pendahuluan
http://www.owasp.org/index.php/Guidehttp://www.owasp.org/index.php/Guidehttp://www.owasp.org/index.php/Guidehttp://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttp://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:OWASP_CLASP_Projecthttp://www.aspectsecurity.com/http://www.aspectsecurity.com/http://www.mitre.org/http://cve.mitre.org/http://www.softtek.com/http://www.whitehatsec.com/http://www.whitehatsec.com/home/resource/stats.htmlhttp://www.whitehatsec.com/home/resource/stats.htmlhttp://www.whitehatsec.com/http://www.whitehatsec.com/http://www.whitehatsec.com/http://www.softtek.com/http://cve.mitre.org/http://www.mitre.org/http://www.aspectsecurity.com/http://www.aspectsecurity.com/http://www.aspectsecurity.com/http://www.aspectsecurity.com/http://www.owasp.org/index.php/Category:OWASP_CLASP_Projecthttp://www.owasp.org/index.php/Category:OWASP_CLASP_Projecthttp://www.owasp.org/index.php/Category:OWASP_CLASP_Projecthttp://www.owasp.org/index.php/Category:OWASP_CLASP_Projecthttp://www.owasp.org/index.php/Category:OWASP_CLASP_Projecthttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttp://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttp://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttp://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttp://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttp://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttp://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttp://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttp://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttp://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttp://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttp://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttp://www.owasp.org/index.php/Guidehttp://www.owasp.org/index.php/Guidehttp://www.owasp.org/index.php/Guidehttp://www.owasp.org/index.php/Guidehttp://www.owasp.org/index.php/Guide
8/18/2019 Owasptop 10 2010
4/22
pa yang berubah dari 2007 ke 2010?
dscape ancaman aplikasi Internet selalu berubah. Faktor kunci evolusi ini adalah kemajuan yang dilakukan oleh penyeran
teknologi baru, dan juga penggunaan sistem yang semakin kompleks. Untuk mengimbanginya, kami secara period
mperbarui OWASP Top 10. Dalam rilis 2010 ini, kami telah melakukan tiga perubahan signifikan:
Kami mengklarifikasi bahwa Top 10 adalah tentang Top 10 Risks, bukan Top 10 kelemahan yang paling umum. Lihat rinci
dalam halaman “Risiko Keamanan Aplikasi ” di bawah.
Kami merubah metodologi peringkat untuk menduga risiko, tidak sekedar bergantung pada frekuensi kelemahan dimaksu
Hal ini berpengaruh pada urutan Top 10, yang dapat dilihat pada tabel di bawah.
Kami mengganti dua isu pada daftar dengan dua isu baru :
+ DITAMBAHKAN: A6 – Kesalahan Konfigurasi Keamanan. Isu ini adalah A10 dalam Top 10 2004: Manajemen Konfigur
Tidak aman, tapi dihapus di 2007 karena tidak dianggap sebagai masalah software. Namun, dari pandangan risi
organisasi dan keberadaannya, ia patut dicantumkan kembali dalam Top 10.
+ DITAMBAHKAN: A10 – Redireksi dan Forward Yang Tidak Divalidasi. Isu ini memulai debutnya di Top 10. Bu
menunjukkan bahwa isu yang relatif tidak dikenal ini tersebar luas dan dapat menyebabkan kerusakan signifikan.
– DIHAPUS: A3 – Eksekusi File Berbahaya. Ia masih merupakan masalah signifikan dalam beragam lingkungan. Nam
keberadaannya di 2007 disebabkan oleh banyaknya aplikasi PHP yang memiliki masalah ini. Sekarang PHP tel
menyertakan konfigurasi aman secara baku, sehingga mengurangi keberadaan masalah ini.
– DIHAPUS: A6 – Kebocoran Informasi dan Penanganan Kesalahan Tidak Tepat. Isu ini sangat banyak, namun dampakn
biasanya minimal. Dengan penambahan Kesalahan Konfigurasi Keamanan, konfigurasi penanganan kesalahan yang tep
merupakan bagian konfigurasi aman atas aplikasi dan server anda.
OWASP Top 10 – 2007 (Sebelumnya) OWASP Top 10 – 2010 (Baru)
– Kelemahan Injeksi A1 – Injeksi
– Cross Site Scripting (XSS) A2 – Cross-Site Scripting (XSS)
– Otentikasi dan Manajemen Sesi Yang Buruk A3 – Otentikasi dan Manajemen Sesi Yang Buruk
– Referensi Obyek Langsung yang Tidak Aman A4 – Referensi Obyek Langsung yang Tidak Aman
– Cross Site Request Forgery (CSRF) A5 – Cross-Site Request Forgery (CSRF)
ulu T10 2004 A10 – Insecure Configuration Management> A6 – Kesalahan Konfigurasi Keamanan (BARU)
– Penyimpanan Kriptografi Yang Tidak Aman A7 – Penyimpanan Kriptografi Yang Tidak Aman
0 – Gagal Membatasi Akses URL A8 – Gagal Membatasi Akses URL
– Komunikasi Yang Tidak Aman A9 – Perlindungan Layer Transport Yang Tidak Cukup
dak ada di T10 2007> A10 –Redireksi dan Forward Yang Tidak Divalidasi (BARU)
– Ekskekusi File Berbahaya
– Kebocoran Informasi dan Penanganan Kesalahan Yang
ak Tepat
Catatan RilisCR
8/18/2019 Owasptop 10 2010
5/22
pa Saja Risiko-Risiko Keamanan Aplikasi?nyerang berpotensi menggunakan beragam cara melalui aplikasi Anda untuk membahayakan bisnis atau organisasi And
iap cara mewakili risiko, yang mungkin, cukup serius untuk memperoleh perhatian.
kadang cara ini mudah ditemukan dan dieksploitasi, namun kadang-kadang sulit. Demikian juga, kerusakan yang diakibatkpat berkisar dari tidak ada apa-apa hingga membuat Anda keluar dari bisnis. Untuk menentukan risiko di organisasi Anda, Anpat mengevaluasi kemungkinan yang diasosiasikan untuk setiap agen ancaman, vektor serangan, kelemahan keamanan, dngkombinasikan dengan estimasi dampak teknis dan bisnis bagi organisasi Anda. Semua faktor ini menentukan risieluruhan.
Kelemahan
Serangan
AgenAncaman
Dampak
pa Risiko Saya?mbaruan OWASP Top 10 ini berfokus pada identifikasi risiko yang paling seriusgi sebagian besar organisasi. Untuk setiap risiko, kami memberikan informasium mengenai kemungkiinan dan dampak teknis dengan menggunakan skema
nilaian sederhana berikut, yang berdasarkan pada OWASP Risk Ratingthodology.
mun demikian, hanya anda yang tahu mengenai lingkungan dan bisnis andaara khusus. Untuk setiap aplikasi, mungkin tidak ada agen ancaman yang dapatlakukan serangan yang sesuai, atau dampak teknis tidak membuat perubahan.enanya, anda harus mengevaluasi setiap risiko, berfokus pada agen ancaman,
ndali keamanan, dan dampak bisnis dalam perusahaan anda.
ski versi-versi terdahulu OWASP Top 10 berfokus pada identifikasi “kerentanan” g paling umum, namun mereka dirancang berdasarkan risiko. Nama risiko
am Top 10 berasal dari jenis serangan, jenis kelemahan, atau dampak yang
mbulkannya. Kami memilih nama yang dikenal umum dan akan memperolehgkat kesadaran tinggi.
Referensi
OWASP
• OWASP Risk Rating Methodology
• Article on Threat/Risk Modeling
Eksternal
•
FAIR Information Risk Framework • Microsoft Threat Modeling (STRIDE
and DREAD)
Kelemahan
Serangan
VektorSerangan
KelemahanKemanan
DampakTeknis
DampakBisnis
Serangan
Dampak
Dampak
Aset
Fungsi
Aset
Kelemahan
Kendali
Kendali
KendaliKelemahan
KendaliKeamanan
Agen
Ancaman
Vektor
Serangan
Keberadaan
Kelemahan
Deteksi
Kelemahan
Dampak
Teknikal
Dampak
Bisnis
?
Mudah Tersebar Mudah Parah
?Sedang Umum Sedang Sedang
Sukar Tidak Umum Sukar Rendah
Risiko-Risiko Keamanan AplikasiRisk
http://www.owasp.org/index.php/Top_10http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/Threat_Risk_Modelinghttp://www.owasp.org/index.php/Command_Injectionhttp://fairwiki.riskmanagementinsight.com/http://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://fairwiki.riskmanagementinsight.com/http://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Threat_Risk_Modelinghttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/Top_10_2007http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/Top_10http://www.owasp.org/index.php/Top_10http://www.owasp.org/index.php/Top_10http://www.owasp.org/index.php/Top_10http://www.owasp.org/index.php/Top_10
8/18/2019 Owasptop 10 2010
6/22
• Kelemahan injeksi , seperti injeksi SQL, OS, dan LDAP, terjadi ketika data yang tidak dapat dipercadikirim ke suatu interpreter sebagai bagian dari suatu perintah atau query . Data berbahaya dpenyerang tersebut dapat mengelabui interpreter untuk mengeksekusi perintah yang tid
direncanakan, atau untuk mengakses data yang tidak terotorisasi.
A1 – Injeksi
•Kelemahan XSS terjadi ketika aplikasi mengambil data yang tidak dapat dipercaya dan mengirimnke suatu web browser tanpa validasi yang memadai. XSS memungkinkan penyerang mengeksekscript-script di dalam browser korban, yang dapat membajak sesi pengguna, mengubah tampiwebsite, atau mengarahkan pengguna ke situs-situs jahat.
A2 – Cross-SiteScripting (XSS)
•Fungsi-fungsi aplikasi yang berhubungan dengan otentikasi dan pengelolaan sesi seringkali tiddimplementasikan dengan benar. Hal ini memungkinkan penyerang mendapatkan password , kdan token-token sesi, atau mengeksploitasi cacat implementasi lainnya untuk memperoleh identipengguna yang lain.
3 – Otentikasi danPengelolaan Sesi
yang Buruk
•Direct object reference terjadi ketika pengembang mengekspos referensi ke suatu obimplementasi internal, seperti file , direktori , atau kunci database. Tanpa adanya suatu pemeriksakendali akses atau perlindungan lainnya, penyerang dapat memanipulasi referensi-referensi untuk mengakses data yang tidak terotorisasi.
A4 –ReferensiObyek LangsungYang Tidak Aman
•Suatu serangan CSRF memaksa browser korban yang sudah log-on untuk mengirim HTTP requyang dipalsukan, termasuk di dalamnya session cookie korban dan informasi otentikasi lain yaotomatis disertakan, ke suatu aplikasi web yang rentan. Hal ini memungkinkan penyerang unmemaksa browser korban menghasilkan request yang dianggap sah oleh aplikasi rentan tadi.
A5 – Cross-SiteRequest Forgery
(CSRF)
•Keamanan yang baik mensyaratkan dimilikinya suatu konfigurasi keamanan (yang terdefinisi dditerapkan) untuk aplikasi, framework , server aplikasi, web server , server database, dan platforSemua pengaturan ini harus didefinisikan, diimplementasikan,dan dipelihara, karena terdabanyak aplikasi yang dirilis tanpa konfigurasi default yang aman. Hal ini juga mencakup menjasemua software up-to-date, termasuk semua pustaka kode yang digunakan aplikasi tersebut.
A6 – KesalahanKonfigurasiKeamanan
•Banyak aplikasi web yang tidak melindungi data sensitif (seperti data kartu kredit, SSN, kredenotentikasi) dengan enkripsi atau hashing yang memadai. Penyerang dapat mencuri atmemodifikasi data dengan perlindungan lemah semacam itu untuk melakukan pencurian identitkejahatan kartu kredit, atau kriminalitas lain.
A7 – PenyimpananKriptografi yang
Tidak Aman
•Banyak aplikasi web memeriksa hak akses URL sebelum memberikan link dan tombol-tombol yadiproteksi. Bagaimanapun juga, aplikasi perlu melakukan pemeriksaan kendali akses yang serusetiap kali halaman-halaman ini diakses, atau penyerang akan dapat memalsukan URL unmengakses halaman-halaman yang tersembunyi ini,
A8 – KegagalanMembatasi Akses
URL
•Aplikasi seringkali gagal untuk mengotentikasi, mengenkripsi, dan melindungi kerahasiaan seintegritas lalu-lintas jaringan yang sensitif. Ketika aplikasi gagal melakukan hal-hal tersebut, adadikarenakan ia mendukung algoritma yang lemah, menggunakan sertifikat yang tidak valid asudah kadaluarsa, atau karena tidak menggunakannya dengan benar.
A9 – Perlindunganyang Tidak Cukup
pada LayerTransport
•Aplikasi web seringkali mengarahkan (redirect ) dan meneruskan ( forward ) pengguna ke halamdan website lain, dan mengunakan data yang tidak dapat dipercaya untuk menentukan halamtujuan. Tanpa validasi yang tepat, penyerang dapat mengarahkan korban ke situs phishing amalware, atau menggunakan forward untuk mengakses halaman yang tidak terotorisasi.
A10 – Redirect danorward yang TidakDIvalidasi
Risiko-Risiko Keamanan AplikasiOWASP Top 10 – 2010T10
8/18/2019 Owasptop 10 2010
7/22
__________Dapat Dieksploitasi
MUDAH
Keberadaan
UMUM
Dapat Dideteksi
RATA-RATA
Dampak
PARAH __________
imbangkanap orang yangat mengirim yang tidak
at dipercaya keem, termasuka penggunaernal, penggunarnal, daninistrator.
Penyerangmengirim serangansederhana berbasisteks yangmengeksploitasisintaks interpreter target. Hampirsetiap sumber datadapat menjadivektor injeksi,termasuk sumberinternal.
Cacat injeksi terjadi ketika suatu aplikasimengirim data yang tidak dapat dipercayake suatu interpreter . Cacat injeksisangatlah umum, terutama pada legacycode, seringkali ditemukan di SQL queries,LDAP queries, Xpath queries, perintahsistem operasi, argumen program, dsb.Cacat injeksi mudah ditemukan ketikamelihat kode, tapi lebih sulit lewatpengujian. Scanner dan fuzzer dapatmembantu penyerang menemukannya.
Injeksi dapatmenyebabkanhilang ataurusaknya data,berkurangnyaakuntabilitas, ataupenolakan akses.Injeksi terkadangdapat mengarahpada pengambil-alihan host secaramenyeluruh.
Pertimbangkan nbisnis data yangterpengaruh danplatform yangmenjalankaninterpretertersebut. Semuadata dapat dicuridimodifikasi, ataudihapus. Apakahreputasi Anda da
jadi rusak?
ontoh Skenario Serangan ikasi menggunakan data yang tidak dapat dipercaya dalam
nstruksi SQL call yang rentan berikut:
ring query = "SELECT * FROM accounts WHEREstID='" + request.getParameter("id") +"'";
nyerang memodifikasi parameter 'id' dalam browser merekauk mengirim:‘ or '1'='1. Ini mengubah arti query tersebutuk mengembalikan semua record database akun, alih-alih
nya akun pelanggan dimaksud.
tp://example.com/app/accountView?id=' or '1'='1
am kasus terburuk, si penyerang menggunakan kelemahanuntuk menjalankan stored procedure khusus dalamabase, yang membuatnya mampu mengambil-alih databasesebut dan bahkan mungkin juga mengambil-alih server
mpat database tersebut.
pakah Saya Rentan terhadap Injeksi?a terbaik mengetahui apakah aplikasi rentan terhadap
eksi adalah dengan memverifikasi bahwa semuanggunaan interpreter secara tegas memisahkan data yangak dapat dipercaya dari perintah atau query . Untuk SQLls, ini berarti menggunakan bind variables dalam semuapared statements dan stored procedures, sertanghindari dynamic queries.
meriksa kode adalah cara cepat dan akurat untuk melihatakah aplikasi menggunakan interpreter dengan aman.
angkat analisis kode dapat membantu analis keamananncari penggunaan interpreter dan melacak aliran data yanglalui aplikasi. Penguji penetrasi dapat memvalidasi isu-isu
dengan membuat eksploitasi yang mengkonfirmasientanan ini.
mindaian dinamis otomatis yang menguji aplikasi dapatmberikan gambaran mengenai keberadaan cacat injeksig dapat dieksploitasi. Pemindai tidak selalu dapat mencapai
erpreter, dan memiliki kesulitan mendeteksi apakah suatuangan berhasil. Error handling yang buruk membuat cacat
eksi semakin mudah ditemukan.
ReferensiOWASP
• OWASP SQL Injection Prevention Cheat Sheet
• OWASP Injection Flaws Article
• ESAPI Encoder API
• ESAPI Input Validation API
• ASVS: Output Encoding/Escaping Requirements (V6)
• OWASP Testing Guide: Chapter on SQL Injection Testing
• OWASP Code Review Guide: Chapter on SQL Injection
• OWASP Code Review Guide: Command Injection
Eksternal
• CWE Entry 77 on Command Injection
• CWE Entry 89 on SQL Injection
Bagaimana Saya Mencegah Injeksi?Pencegahan injeksi mensyaratkan data yang tidak dapdipercaya tetap terpisah dari perintah-perintah dan queries
1. Pilihan yang lebih disukai adalah menggunakan API yaaman yang menghindari penggunaan interpreter secakeseluruhan atau menyediakan interface yaberparameter. Berhati-hatilah terhadap API, sepestored procedures, yang meskipun berparameter, nammasih tetap dapat menimbulkan injeksi.
2. Jika tidak tersedia API yang berparameter, Anda haberhati-hati meloloskan karakter-karakter khusus dengmenggunakan escape syntax khusus untuk interpreter tESAPI OWASP memiliki beberapa escaping routines ini.
3. Validasi input positif atau "daftar putih“ (“white lisdengan kanonikalisasi yang tepat juga direkomendasikatetapi bukan merupakan pertahanan yang lengkkarena banyak aplikasi membutuhkan karakter-karakkhusus dalam inputnya. ESAPI OWASP memiliki pustayang luas mengenai rutin validasi input “white list”.
Security
Weakness
Vektor
SeranganTechnical
ImpactsAgenAncaman
Business
Impacts
A1 InjeksiKelemahan
keamanan
Vektor
SeranganDampak
Teknikal
Dampak
Bisnis
http://www.owasp.org/index.php/Injection_Flawshttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/Command_Injectionhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)http://www.owasp.org/index.php/Reviewing_Code_for_SQL_Injectionhttp://www.owasp.org/index.php/Reviewing_Code_for_OS_Injectionhttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/ESAPIhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Reviewing_Code_for_OS_Injectionhttp://www.owasp.org/index.php/Reviewing_Code_for_SQL_Injectionhttp://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)http://www.owasp.org/index.php/ASVShttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Injection_Flaws
8/18/2019 Owasptop 10 2010
8/22
__________Dapat Dieksploitasi
RATA-RATA
Keberadaan
SANGAT TERSEBAR
Dapat Dideteksi
MUDAH
Dampak
SEDANG
__________
mbangkan setiapg yang dapatgirim data yang
k dapat dipercayastem, termasukpengguna
ernal, penggunanal, daninistrator.
Penyerang dapatmengirim seranganberbasis teks yangmengeksploitasiinterpreter di browser.Hampir setiap sumberdata dapat menjadivektor injeksi,termasuk sumber-sumber internalseperti data daridatabase.
XSS merupakan cacat aplikasi web yang palinglazim. cacat XSS terjadi ketika aplikasimenyertakan data yang diberikan penggunadalam suatu halaman yang dikirim ke browser, tanpa memvalidasi atau menyaring isitersebut. Ada tiga tipe cacat XSS yang dikenal:1) Stored , 2) Reflected , dan 3) DOM based XSS.
Pendeteksian cacat XSS cukup mudah melaluipengujian atau analisis kode.
Penyerang dapatmengekseskusi script dalam browser korbanuntuk membajak sesipengguna, mengubahsitus, memasukkankonten berbahaya,mengarahkanpengguna, membajakbrowser penggunamenggunakanmalware, dsb.
Pertimbangkan nilabisnis sistem yangterpengaruh dansemua data yangdiprosesnya.
Juga pertimbangkadampak bisnis daripengungkapankerentanan ini kepublik.
ontoh Skenario Serangan kasi menggunakan data yang tidak dapat dipercaya dalamstruksi cuplikasn HTML berikut tanpa validasi maupunyaringan :
ring) page += "
8/18/2019 Owasptop 10 2010
9/22
__________Dapat Dieksploitasi
RATA-RATA
Keberadaan
UMUM
Dapat Dideteksi
RATA-RATA
Dampak
PARAH __________
mbangkan parayerang eksternal
anonim, jugaua pengguna,dapat mencoba
curi akun orangJugambangkan orangm yang inginyembunyikanakannya.
Penyerangmenggunakankebocoran atau cacatdalam fungsi-fungsiotentikasi ataupengelolaan sesi(contoh: akun,password, session ID yang terekspos) untukmenyamar sebagaipengguna lain.
Para pengembang seringkali membuat sendiriskema otentikasi dan pengelolaan sesi, namunmembuatnya dengan benar adalah sulit.Akibatnya, skema tersebut seringkali memilikicacat dalam area seperti logout, pengelolaanpassword, timeout , fitur “ingat aku”,
pertanyaan rahasia, perbaharuan akun, dsb.Menemukan cacat semacam ini kadangkalamerupakan hal yang sulit, karena setiapimplementasinya unik.
Cacat semacam inimemungkinkanbeberapa atau bahkansemua akun diserang.Setelah berhasil,penyerang dapatmelakukan segala halyang dapat dilakukankorban. Akun yangmemiliki hak istimewaseringkali menjadi
target.
Pertimbangkan nilabisnis data ataufungsi-fungsi aplikayang terpengaruh
Juga pertimbangkadampak bisnispengungkapankerentanan ini kepublik.
ontoh Skenario Serangan nario #1: Aplikasi pemesanan penerbangan yang mendukungulisan ulang URL menaruh session ID dalam URL:
tp://example.com/sale/saleitems; jsessionid=0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
gguna yang telah diotentikasi pada situs itu ingin memberitahumannya mengenai penjualan tersebut. Ia mengirim email link dis tanpa tahu bahwa ia juga memberi session ID-nya. Ketika
man-temannya menggunakan link tersebut, mereka akannggunakan sesi dan kartu kreditnya.
nario #2: Timeout aplikasi tidak diset dengan tepat. Penggunamakai komputer publik untuk mengakses situs. Alih-alih memilihgout", si pengguna hanya menutup browser tab dan pergi.yerang menggunakan browser yang sama 1 jam kemudian, dan
sih tetap terotentikasi.
nario #3: Penyerang internal atau eksternal memperoleh aksesdatabase password sistem. Password pengguna tidak dienkripsi,ingga setiap password pengguna terekspos ke penyerang.
pakah Saya Rentan?t utama yang perlu dilindungi adalah kredensial dan session ID.
Apakah kredensial selalu terlindungi ketika disimpan denganmenggunakan hashing atau enkripsi? Lihat A7.
Dapatkah kredensial ditebak atau ditimpa melalui fungsi
pengelolaan akun yang lemah (misal, pembuatan akun,pengubahan password, pemulihan password, session ID yanglemah)?
Apakah session ID diekspos di URL (misal, penulisan ulang URL)?Apakah session ID rentan terhadap serangan session fixation?
Lakukan timeout session ID dan dapatkah pengguna logout ?
Apakah session ID dirotasi setelah login berhasil?
Apakah password , session ID, dan kredensial lainnya dikirimhanya melalui koneksi TLS? Lihat A9.
at area-area persyaratan ASVS V2 dan V3 untuk lebih rinci.
Referensi
OWASP Untuk informasi lebih lengkapnya mengenai persyaratan dmasalah-masalah yang harus dihindari di area ini, lihat ASrequirements areas for Authentication (V2) and SessManagement (V3).
• OWASP Authentication Cheat Sheet
• ESAPI Authenticator API
• ESAPI User API
• OWASP Development Guide: Chapter on Authentication
• OWASP Testing Guide: Chapter on Authentication
Eksternal
• CWE Entry 287 on Improper Authentication
Bagaimana Saya Mencegah Hal Ini?Rekomendasi utama bagi suatu organisasi adalah dengmenyediakan (bagi para pengembang):
1. Satu set tunggal kendali otentikasi dan pengelolaan sesi yakuat. Kendali-kendali tersebut harus diusahakan untuk:
a) memenuhi semua persyaratan otentikasi dan pengelolasesi yang didefinisikan dalam area V2 (Otentikasi) dan (Pengelolaan Sesi) Application Security VerificatStandard OWASP.
b) memiliki antarmuka sederhana untuk para pengembaPertimbangkan ESAPI Authenticator and User APIs sebacontoh yang baik untuk emulasi, pemakaian, atdicontoh.
2. Upaya-upaya yang kuat juga harus dilakukan untmenghindari cacat XSS yang dapat digunakan untuk mencsession ID. Lihat A2.
Otentikasi dan Pengelolaan Sesiyang BurukA3
AgenAncaman
Kelemahan
keamanan
Vektor
SeranganDampak
Teknikal
Dampak
Bisnis
http://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Authentication_Cheat_Sheethttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/User.htmlhttp://www.owasp.org/index.php/Guide_to_Authenticationhttp://www.owasp.org/index.php/Testing_for_authenticationhttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/287.htmlhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://cwe.mitre.org/data/definitions/287.htmlhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Testing_for_authenticationhttp://www.owasp.org/index.php/Guide_to_Authenticationhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/User.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://www.owasp.org/index.php/Authentication_Cheat_Sheethttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://www.owasp.org/index.php/ASVS
8/18/2019 Owasptop 10 2010
10/22
__________Dapat Dieksploitasi
MUDAH
Keberadaan
UMUM
Dapat Dideteksi
MUDAH
Dampak
SEDANG __________
imbangkan jenisgguna padaem anda.kah penggunaya memilikies sebagian ke
sistem?
Penyerang, yangmerupakanpengguna sistemterotorisasi, cukupmerubah nilaiparameter dariobyek sistem keobyek lainnya yangtidak terotorisasi.Apakah aksesdiberikan?
Aplikasi seringkali menggunakan namaatau kunci aktual obyek ketika membuathalaman web. Aplikasi tidak selalumemverifikasi apakah penggunaterotorisasi untuk obyek target. Hal iniberakibat pada cacat referensi obyeklangsung yang tidak aman. Penguji dapatdengan mudah memanipulasi nilaiparameter untuk medeteksi hal tersebutdan analisis kode menunjukkan apakahotorisasi diverifikasi dengan benar.
Cacat tersebutdapatmengkompromikanseluruh data yangdapat diacu olehparameter. Kecualiruang nama luas,sangat mudah bagipenyerangmengakses seluruhdata tipe itu.
Pertimbangkan nbisnis data yangterekspos.
Juga pertimbangdampak bisnispengungkapankerentanan.
ontoh Skenario Serangan ikasi menggunakan data tidak diverifikasi dalam sebuah
nggilan SQL yang mengakses informasi akun:
ring query = "SELECT * FROM accts WHERE account = ?";
eparedStatement pstmt =nnection.prepareStatement(query , … );
tmt.setString( 1, request.getparameter("acct"));
esultSet results = pstmt.executeQuery( );
nyerang cukup memodifikasi parameter ‘acct’ diwsernya untuk mengirim nomor akun apapun yang
nginkan. Jika tidak diverifikasi, penyerang dapat mengaksesmbarang akun pengguna, alih-alih hanya akun kustomer
g diinginkan.
ttp://example.com/app/accountInfo?acct=notmyacct
pakah Saya Rentan?a terbaik untuk mengetahui apakah sebuah aplikasi rentanhadap referensi obyek langsung yang tidak aman adalahngan memverifikasi bahwa seluruh referensi obyek telahmiliki pertahanan yang sesuai. Untuk mencapai hal ini,timbangkan:
Untuk referensi langsung ke sumber daya yang dibatasi,aplikasi perlu memverifikasi apakah pengguna berhakmengakses sumber daya yang dimintanya.
Jika referensi tidak langsung, pemetaan ke referensilangsung harus dibatasi ke nilai yang terotorisasi untukpengguna saat ini.
view kode aplikasi dapat dengan cepat memverifikasiakah kedua pendekatan diimplementasi dengan aman.ngujian juga efektif mengidentifikasi referensi obyekgsung dan apakah mereka aman. Tool otomatis biasanyaak melihat hal tersebut karena ia tidak dapat mengenalig butuh perlindungan atau apa yang aman dan tidak.
ReferensiOWASP • OWASP Top 10-2007 on Insecure Dir Object References
• ESAPI Access Reference Map API
• ESAPI Access Control API (Lihat AuthorizedForData(),isAuthorizedForFile(), isAuthorizedForFunction() )
Untuk kebutuhan kendali akses tambahan, lihat ASVSrequirements area for Access Control (V4).
Eksternal
• CWE Entry 639 on Insecure Direct Object References
• CWE Entry 22 on Path Traversal (contoh serangan Referensi ObyLangsung)
Bagaimana Saya Mencegah Hal Ini?Mencegah referensi obyek langsung yang tidak ammembutuhkan pemilihan metode untuk melindungi obyyang dapat diakses setiap pengguna (misal nomor obyenama file):
1. Gunakan referensi obyek tidak langsung per pengguatau sesi. Hal ini mencegah penyerang langsumengarah ke sumber daya tidak terotorisasi. Contohnalih-alih menggunakan kunci database sumber dadaftar drop down enam sumber daya terotorisasi untpengguna saat ini dapat menggunakan angka 1-6 untmengindikasikan nilai yang dipilih. Aplikasi harmemetakan hal ini ke kunci database di server. ESAOWASP menyertakan pemetaan referensi akses acak dterurut yang dapat digunakan pengembang untmeniadakan referensi obyek langsung.
2. Memeriksa akses. Setiap penggunaan referensi obylangsung dari sumber tidak terpercaya harmenyertakan pemeriksaan kendali akses untmemastikan pengguna berhak mengakses obyek.
Referensi Obyek Langsung YangTidak AmanA4
Kelemahan
Keamanan
Vektor
SeranganDampak
TeknikalAgenAncaman
Dampak
Bisnis
http://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.htmlhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/639.htmlhttp://cwe.mitre.org/data/definitions/22.htmlhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/ESAPIhttp://cwe.mitre.org/data/definitions/22.htmlhttp://cwe.mitre.org/data/definitions/639.htmlhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Reference
8/18/2019 Owasptop 10 2010
11/22
__________ Dapat DieksploitasiRATA-RATA
KeberadaanTERSEBAR
Dapat DideteksiMUDAH
DampakSEDANG
__________
imbangkanap orang yangat menipugguna anda
nyerahkanmintaan kesite anda.
bsite atau feed ML apapun yang
ses pengguna
a dapatakukan hal ini.
Penyerangmembuatpermintaan HTTPpalsu dan menipukorban untukmenyerahkannyamelalui tag gambar, XSS, atauteknik lain. Jikapengguna
terotentikasi,serangan sukses.
CSRF mengambil keuntungan dari aplikasiweb yang membolehkan penyerangmemprediksi seluruh rincian tindakantertentu.
Karena browsers mengirimkan credential seperi session cookie secara otomatis,penyerang dapat membuat halaman webberbahaya yang memalsukan permintaanyang mirip dengan yang sah.
Deteksi lubang CSRF relatif mudahdengan pen test atau analisis kode.
Penyerang dapatmenyebabkankorban merubahsembarang datayang dibolehkanatau melakukantindakan yangterotorisasi untukpengguna.
Pertimbangkan nbisnis data ataufungsi aplikasi yaterpengaruh.Bayangkan apakapengguna inginmelakukan aksitersebut.
Pertimbangkan
dampak bagireputasi anda.
ontoh Skenario Serangan
ikasi membolehkan pengguna menyerahkan permintaanubahan status yang tidak menyertakan sesuatu yangsifat rahasia. Sebagai contoh:
tp://example.com/app/transferFunds?amount=1500destinationAccount=4673243243
nyerang dapat membuat permintaan yang akanntransfer uang dari akun korban ke akunnya, danmasukkan serangan ini dalam sebuah permintaan imageu iframe yang disimpan di site dalam kendali penyerang.
mg src="http://example.com/app/transferFunds?mount=1500&destinationAccount=attackersAcct#“
dth="0" height="0" />
a korban mengunjungi site tersebut ketika sudahotentikasi ke example.com, maka sembarang permintaansu akan menyertakan info sesi pengguna, danngotorisasi permintaan.
pakah Saya Rentan Ke CSRF?a termudah untuk memeriksa apakah sebuah aplikasitan adalah dengan melihat apakah setiap link dan formisi unpredictable token untuk setiap pengguna. Tanpaen tersebut, penyerang dapat memalsukan permintaanbahaya. Fokus pada link dan form yang menyertakangsi yang berubah sesuai status, karena itu adalah targetpenting CSRF.
da harus memeriksa transaksi banyak-langkah, karenareka tidak kebal. Penyerang dapat dengan mudahmalsukan serangkaian permintaan dengan menggunakan
nyak tag atau JavaScript.
at bahwa cookie sesi, alamat IP sumber, dan informasi laing otomatis dikirim browser, tidak termasuk karenareka juga disertakan dalam permintaan palsu.
RF Tester OWASP dapat membantu membuat uji kasusuk mendemonstraksikan bahaya lubang CSRF.
Referensi
OWASP • OWASP CSRF Article
• OWASP CSRF Prevention Cheat Sheet
• OWASP CSRFGuard - CSRF Defense Tool
• ESAPI Project Home Page
• ESAPI HTTPUtilities Class with AntiCSRF Tokens
• OWASP Testing Guide: Chapter on CSRF Testing
• OWASP CSRFTester - CSRF Testing Tool
Eksternal • CWE Entry 352 on CSRF
Bagaimana Saya Mencegah CSRF?Pencegahan CSRF membutuhkan penyertaan unpredictatoken dalam body atau URL setiap permintaan HTTP. Toktersebut harus unik untuk setiap sesi pengguna, atau juuntuk setiap permintaan.
1. Opsi yang disukai adalah menyertakan token unik dala field tersembunyi. Hal ini membuat nilainya dikirim dalatubuh permintaan HTTP, sehingga tidak ada di dalaURL, yang rentan terekspos.
2. Token unik dapat juga disertakan dalam URL, atparameter URL. Namun, penempatan tersebut beriskarena URL akan terekspos ke penyerang, karenanmengungkap token rahasia.
CSRF Guard OWASP dapat digunakan untuk secara otomamenyertakan token semacam itu dalam aplikasi Java EE, .NEatau PHP anda. ESAPI OWASP menyertakan token generatodan validator yang dapat digunakan pengembang untmelindungi transaksi mereka.
Cross-Site Request Forgery(CSRF)
Kelemahan
Keamanan
Vektor
SeranganDampak
TeknikalAgenAncaman
Dampak
Bisnis
A5
http://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/CSRFhttp://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.htmlhttp://www.owasp.org/index.php/Testing_for_CSRF_(OWASP-SM-005)http://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/352.htmlhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/CSRFGuardhttp://cwe.mitre.org/data/definitions/352.htmlhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/Testing_for_CSRF_(OWASP-SM-005)http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.htmlhttp://www.owasp.org/index.php/ESAPIhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/CSRFGuardhttp://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/CSRFhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/CSRFTesterhttp://www.owasp.org/index.php/CSRFTester
8/18/2019 Owasptop 10 2010
12/22
__________ Dapat DieksploitasiMUDAH
KeberadaanUMUM
Dapat DideteksiMUDAH
DampakSEDANG
__________
imbangkanyerangernal anonimjuga penggunagan akunnyag berusahanyusupi sistem.imbangkan juga
der yang inginnutupi
akannya.
Penyerangmengakses akunbaku, halaman tidakdipakai, cacat yangbelum di- patch, filedan direktori yangtidak terlindungi,dsb. Untukmemperoleh aksestidak terotorisasi
atau pengetahuansistem.
Kesalahan konfigurasi keamanan dapatterjadi pada setiap tingkatan aplikasi,termasuk platform, server web, serveraplikasi, framework, dan kode kustom.Pengembang dan admin jaringanan perlubekerja sama untuk memastikan bahwaseluruh tingkatan telah dikonfigurasidengan tepat. Scanner otomatis bergunauntuk mendeteksi patch yang hilang,kesalahan konfigurasi, akun baku, layanan
yang tidak diperlukan, dsb.
Cacat ini seringkalimemberi penyerangakses ke data ataufungsionalitassistem atau.Terkadangberakibatterkomprominyasistem secara utuh.
Sistem dapatdikompromi tanpanda ketahui.Seluruh data dapdicuri ataudimodifikasiperlahan-lahan.
Biaya pemulihandapat sangat ma
ontoh Skenario Serangan
nario #1: Aplikasi anda bergantung pada framework yangwerful seperti Struts atau Spring. Cacat XSS ditemukanam komponen framework ini. Update telah dirilis untukmperbaikinya namun anda tidak mengupdate librar.
nyerang dapat dengan mudah menemukan danngeksploitasi cacat ini.
nario #2: Konsol admin server aplikasi terinstalasimatis dan tidak dibuang. Akun baku tidak diubah.
nyerang menemukan page admin, login dengan passwordku, lalu mengambil alih.
nario #3: Listing direktori tidak ditiadakan. Penyerang.nyerang mencari dan mendownload seluruh class Java,g lalu dikembalikan untuk memperoleh kode sumber. Ia
mudian menemukan cacat kendali dalam aplikasi.
nario #4: Konfigurasi App server memberikan stack tracespengguna, mengekspos cacat potensial. Penyerang
nyukai informasi tambahan ini.
pakah Saya Rentan?akah anda telah melakukan pengetatan keamanan yangat di seluruh lapisan aplikasi ?
Apakah anda memiliki proses untuk membuat seluruhsoftware up to date? Termasuk OS, Server Web/App,DBMS, aplikasi, dan seluruh pustaka kode.
Apakah yang tidak perlu telah di-disable, dihapus, ataudiuninstall (contoh:port,layanan, page,akun, privileges)?
Apakah password baku telah diubah atau di-disable?
Apakah penanganan kesalahan diset untuk mencegahstack traces dan pesan kesalahan informatif bocor?
Apakah seting keamanan dalam pustaka dan frameworkpengembangan (misal Struts, Spring, ASP.NET) telahdipahami dan dikonfigurasi?
ses menyeluruh dan berulang dibutuhkan untukmelihara konfigurasi keamanan yang tepat.
Referensi
OWASP • OWASP Development Guide: Chapter on Configuration
• OWASP Code Review Guide: Chapter on Error Handling
• OWASP Testing Guide: Configuration Management
• OWASP Testing Guide: Testing for Error Codes
• OWASP Top 10 2004 - Insecure Configuration Managemen
Untuk persyaratan tambahan, lihat ASVS requirements areafor Security Configuration (V12).
Eksternal
• PC Magazine Article on Web Server Hardening
• CWE Entry 2 on Environmental Security Flaws
• CIS Security Configuration Guides/Benchmarks
Bagaimana Saya Mencegah Hal Ini?Rekomendasi utama adalah melakukan hal berikut:
1. Proses pengetatan berulang yang membuat cepat dmudah mendeploy lingkungan lain yang telah dikunLingkungan pengembangan, QA, dan produseharusnya dikonfigurasi secara identik. Proses seharusnya otomatis untuk meminimalkan usaha yadibutuhkan untuk mensetup lingkungan baru yang ama
2. Proses untuk memudahkan update dan men-depseluruh software update dan patch secara cepat lingkungan. Hal ini perlu mencakup juga seluruh pustakode, yang seringkali diabaikan.
3. Arsitektur aplikasi yang kuat yang menyediakpemisahan dan keamanan yang tegas antar komponen.
4. Pertimbangkan menjalankan scan dan melakukan ausecara periodik untuk membantu mendeteksi kesalahkonfigurasi atau patch yang hilang di masa mendatang.
Kesalahan Konfigurasi KeamananA6Kelemahan
Keamanan
Vektor
SeranganDampak
TeknikalAgenAncaman
Dampak
Bisnis
http://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://www.owasp.org/index.php/Configurationhttp://www.owasp.org/index.php/Error_Handlinghttp://www.owasp.org/index.php/Testing_for_configuration_managementhttp://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)http://www.owasp.org/index.php/A10_2004_Insecure_Configuration_Managementhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Command_Injectionhttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://cwe.mitre.org/data/definitions/2.htmlhttp://cisecurity.org/en-us/?route=downloads.benchmarkshttp://cisecurity.org/en-us/?route=downloads.benchmarkshttp://cwe.mitre.org/data/definitions/2.htmlhttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/A10_2004_Insecure_Configuration_Managementhttp://www.owasp.org/index.php/A10_2004_Insecure_Configuration_Managementhttp://www.owasp.org/index.php/A10_2004_Insecure_Configuration_Managementhttp://www.owasp.org/index.php/A10_2004_Insecure_Configuration_Managementhttp://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)http://www.owasp.org/index.php/Testing_for_configuration_managementhttp://www.owasp.org/index.php/Error_Handlinghttp://www.owasp.org/index.php/Configurationhttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Reference
8/18/2019 Owasptop 10 2010
13/22
__________Dapat Dieksploitasi
SUKAR
Keberadaan
TIDAK UMUM
Dapat Dideteksi
SUKAR
Dampak
PARAH __________
imbangkangguna sistema. Apakaheka ingin
mperoleh aksesata terlindungi
g tidaktorisasi bagieka? Bagaimanaganinistratorrnal?
Penyerang biasanyatidak membongkarcrypto. Merekamembongkar yanglain seperti mencarikunci, memperolehsalinan data, atauakses data viasaluran yangterbuka.
Cacat yang paling umum di area ini adalahtidak mengenkripsi data yang patutdienkripsi. Ketika menggunakan enkripsi,pembuatan kunci dan penyimpanan tidakaman, tidak merotasi kunci, dan algoritmalemah adalah umum. Hash lemah dantidak di-salt juga umum. Penyerangeksternal sulit menemukan cacat itukarena akses terbatas.Mereka biasanyaharus mengeksploitasi yang lain untukmemperoleh akses yang diinginkan.
Kegagalan seringkalimengkompromikanseluruh data yangseharusnyadienkripsi.Umumnya informasiini mencakupcatatan kesehatan,credential , datapersonal, kartukredit, dsb.
Pertimbangkan nbisnis data hilangdan dampaknyabagi reputasi andApa tanggungjawlegal anda bila daterpapar? Jugapertimbangkankerugian bagireputasi anda.
ontoh Skenario Serangan nario #1: Aplikasi mengenkripsi kartu kredit dalamabase untuk mencegah paparan ke end pengguna.mun, database diset untuk secara otomatis mendekripsiery atas kolom kartu kredit, memungkinkan cacat SQLection memperoleh seluruh kartu kredit dalam cleartext .em seharusnya dikonfigurasi untuk hanya membolehkankasi back-end mendekripsinya, bukan aplikasi front-end .
nario #2: Tape backup terdiri dari catatan kesehatanenkripsi, namun kunci enkripsi berada pada backup yang
ma. Tape tidak pernah tiba pada pusat backup.
nario #3: Database password menggunakan hash yang
ak di-salt untuk menyimpan password setiap orang. Cacatupload memungkinkan penyerang memperoleh file
sword. Seluruh hash dapat di-brute forced dalam 4nggu, sementara hash yang di-salt membutuhkan waktuih dari 3000 tahun.
pakah Saya Rentan?pertama yang perlu dilakukan adalah menentukan data
sitif yang perlu dienkripsi. Sebagai contoh, password,tu kredit, catatan kesehatan, dan informasi personalharusnkripsi. Untuk seluruh data itu, pastikan:
Ia dienkripsi di manapun ia disimpan dalam jangkapanjang, terutama dalam backup data.
Hanya pengguna berhak dapat mengakses salinan datayang tidak terenkripsi (misalnya kendali akses – lihat A4dan A8).
Digunakan algoritma enkripsi standar yang kuat.
Kunci kuat dibuat, dilindungi dari akses tidak terotorisasi,dan perubahan kunci direncanakan..
n banyak lagi. Untuk daftar lengkap masalah yang harusindari, lihat ASVS requirements on Cryptography (V7)
ReferensiOWASP Untuk persyaratan dan masalah yang harus dihindari yalebih lengkap, lihat ASVS requirements on Cryptography (V7
• OWASP Top 10-2007 on Insecure Cryptographic Storage
• ESAPI Encryptor API
• OWASP Development Guide: Chapter on Cryptography
• OWASP Code Review Guide: Chapter on Cryptography
Eksternal
•
CWE Entry 310 on Cryptographic Issues • CWE Entry 312 on Cleartext Storage of Sensitive Informati
• CWE Entry 326 on Weak Encryption
Bagaimana Saya Mencegah Hal Ini?Dampak lengkap kriptografi yang tidak aman di luar lingkTop 10 ini. Namun secara minimum lakukan hal ini untseluruh data sensitif yang butuh enkripsi:
1. Pertimbangkan ancaman atas data ini (misal seranginsider , pengguna eksternal), pastikan anda mengenkripseluruh data at rest yang akan melindungi dari ancam
ini.2. Pastikan backup offsite dienkripsi, namun kuncin
dikelola dan dibackup secara terpisah.
3. Pastikan penggunaan algoritma standar yang kuat, dlakukan manajemen kunci.
4. Pastikan password di-hash dengan algoritma standyang kuat dan gunakan salt yang tepat.
5. Pastikan seluruh kunci dan password terlindungi dakses tidak terotorisasi.
Penyimpanan Kriptografi YangTidak AmanA7
Kelemahan
Keamanan
Vektor
SeranganDampak
TeknikalAgenAncaman
Dampak
Bisnis
http://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encryptor.htmlhttp://www.owasp.org/index.php/Guide_to_Cryptographyhttp://www.owasp.org/index.php/Codereview-Cryptographyhttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Codereview-Cryptographyhttp://www.owasp.org/index.php/Guide_to_Cryptographyhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encryptor.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encryptor.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encryptor.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encryptor.htmlhttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVS
8/18/2019 Owasptop 10 2010
14/22
8/18/2019 Owasptop 10 2010
15/22
__________Dapat Dieksploitasi
SUKAR
Keberadaan
UMUM
Dapat Dideteksi
MUDAH
Dampak
SEDANG __________
mbangkan semuag yang dapat
monitor lalu lintas
gan paragguna Anda. Jikaasi ada di
rnet, tidak adatahu bagaimana
gguna Andagaksesnya.an lupaatikan koneksi
-end .
Memantau lalu-lintas jaringan penggunaboleh jadi sulit, tetapi
kadang juga mudah.Kesulitan utamaterletak padapemantauan lalulintas jaringan yangtepat sementarapengguna mengaksessitus yang rentan.
Aplikasi seringkali tidak melindungi lalu-lintas jaringan. Mereka mungkin menggunakanSSL/TLS selama otentikasi, tetapi tidak di
tempat lain, mengekspos data dan session IDuntuk penyadapan. Sertifikat yang sudahkadaluarsa atau dikonfigurasi dengan tidaktepat juga mungkin digunakan.
Mendeteksi cacat dasar adalah mudah.Perhatikan saja lalu lintas jaringan situstersebut. Cacat yang lebih rumit memerlukaninspeksi rancangan aplikasi dan konfigurasiserver.
Cacat ini mengeksposdata penggunaperorangan dan dapat
mengarah padapencurian akun. Jikaakun admin yangtercuri, maka seluruhsitus dapat terekspos.Setup SSL yang buruk juga dapatmemfasilitasiserangan phishing
atau MITM.
Pertimbangkan nilabisnis data yangdiekspos dalam ka
komunikasi dalam kebutuhankerahasiaan danintegritasnya, dankebutuhan untukmelakukan otentikkedua partisipan.
ontoh Skenario Serangan nario #1: Suatu situs tidak menggunakan SSL pada halaman ygmerlukan otentikasi. Penyerang dgn mudah memonitor lalu-as jaringan, dan mengobservasi session cookie korban yg telahotentikasi. Penyerang kemudian mengulang cookie ini dan
ngambil alih sesi pengguna.
nario #2: Suatu situs memiliki sertifikat SSL yg tidakkonfigurasi dgn tepat sehingga menampilkan peringatan diwser . Pengguna tetap melanjutkan agar dapat menggunakans tersebut. Serangan phishing ke pelanggan situs itu dapatmancing mereka ke situs yg terlihat serupa namun dengantifikat invalid, yg akan menampilkan peringatan. Karena korbanh terbiasa dgn peringatan semacam itu, mereka terus
nggunakan situs phishing, memberikan password atau data privatnya.
nario #3: Suatu situs menggunakan ODBC/JDBC standar untukeksi database, tanpa menyadari lalu-lintasnya tidak dienkripsi.
pakah Saya Rentan?a terbaik untuk mengetahui apakah suatu aplikasi memilikiindungan yang tidak cukup pada layer transport adalah dengan
mverifikasi hal-hal berikut.
SSL digunakan untuk melindungi semua lalu-lintas yangberhubungan dengan kegiatan otentikasi.
SSL digunakan pada semua halaman dan layanan privat. Hal inimelindungi data dan session token yang dipertukarkan. SSLcampuran pada satu halaman harus dihindari karena dapatmenyebabkan peringatan bagi pengguna di browser, dan dapatmengekspos session ID pengguna .
Hanya mendukung algoritma yang kuat.
Semua session cookies memiliki secure flag yang diset, sehinggabrowser tidak pernah mengirim session cookies dalam bentuktidak dienkripsi.
Sertifikat server sah dan dikonfigurasi dengan benar untukserver tersebut. Hal ini berarti sertifikat diterbitkan oleh
penerbit yang berwenang, tidak kadaluarsa, tidak dicabut, dancocok dengan semua domain yang digunakan oleh situs.
ReferensiOWASP Untuk informasi lebih lengkap mengenai persyaratan dpermasalahan yang harus dihindari di area ini, lihat ASrequirements on Communications Security (V10).
• OWASP Transport Layer Protection Cheat Sheet
• OWASP Top 10-2007 on Insecure Communications
• OWASP Development Guide: Chapter on Cryptography
• OWASP Testing Guide: Chapter on SSL/TLS Testing
Eksternal
• CWE Entry 319 on Cleartext Transmission of Sensitive Informatio
• SSL Labs Server Test
• Definition of FIPS 140-2 Cr to ra hic Standard
Bagaimana Saya Mencegah Hal Ini?Penyediaan perlindungan yang tepat pada layer transport damempengaruhi rancangan situs. Hal yang paling mudah adadengan menggunakan SSL di seluruh situs. Untuk alasan kinebeberapa situs hanya menggunakan SSL pada halaman privat. Ya
lain menggunakan SSL hanya pada halaman yang kritikal, tapi dapat mengekspos session ID dan data sensitif lainnya.
Hal minimum yang perlu dilakukan adalah sebagai berikut.
1. Wajibkan SSL pada semua halaman sensitif. Semua requnon-SSL untuk halaman ini harus dialihkan ke halaman SSL.
2. Set penanda aman (secure flag) pada semua cookies yasensitif.
3. Konfigurasi penyedia SSL Anda untuk hanya mendukualgoritma-algoritma yang kuat (misal, FIPS 140-2 compliant ).
4. Pastikan sertifikat Anda valid, tidak kadaluarsa, tidak dicabdan cocok dengan semua domain yang digunakan oleh situs.
5. Koneksi back-end dan koneksi yang lain juga hamenggunakan SSL atau teknologi enkripsi lainnya.
Perlindungan yang Tidak Cukup padaLayer TransportA9
Security
Weakness
Attack
VectorsTechnical
Impacts
Business
ImpactsKelemahan
keamanan
Vektor
SeranganDampak
TeknikalAgenAncaman
Dampak
Bisnis
http://www.owasp.org/index.php/Top_10_2007-Failure_to_Restrict_URL_Accesshttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheethttp://www.owasp.org/index.php/Top_10_2007-Insecure_Communicationshttp://www.owasp.org/index.php/Guide_to_Cryptographyhttp://www.owasp.org/index.php/Testing_for_SSL-TLShttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/319.htmlhttps://www.ssllabs.com/ssldb/index.htmlhttp://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfhttp://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfhttp://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfhttp://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfhttp://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfhttps://www.ssllabs.com/ssldb/index.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Testing_for_SSL-TLShttp://www.owasp.org/index.php/Guide_to_Cryptographyhttp://www.owasp.org/index.php/Top_10_2007-Insecure_Communicationshttp://www.owasp.org/index.php/Top_10_2007-Insecure_Communicationshttp://www.owasp.org/index.php/Top_10_2007-Insecure_Communicationshttp://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheethttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Failure_to_Restrict_URL_Access
8/18/2019 Owasptop 10 2010
16/22
ontoh Skenario Serangan nario #1: Aplikasi memiliki halaman “redirect. jsp” yangnerima parameter tunggal bernama “url”. Penyerang membuatL berbahaya yang mengarahkan pengguna ke situs yangakukan phishing dan menginstalasi malware.
tp://www.example.com/redirect.jsp?url=evil.com
nario #2: Aplikasi menggunakan penerusan untuk membuat ruteuest antar bagian yang berbeda dari suatu situs. Untukmfasilitasi hal ini, beberapa halaman menggunakan parameteruk mengindikasikan ke mana pengguna harus dikirim jika
nsaksi berhasil. Dalam kasus ini, penyerang membuat URL yangn melewati pemeriksaan kendali akses aplikasi dan kemudianneruskan penyerang ke suatu fungsi administratif yang tidak akanat diaksesnya dalam kondisi normal.
p://www.example.com/boring.jsp?fwd=admin.jsp
__________ Dapat DieksploitasiRATA-RATA
KeberadaanTIDAK UMUM
Dapat DideteksiMUDAH
DampakSEDANG
__________
mbangkan semuag yang dapatgelabui penggunaa untukgirimkan requestebsite Anda.p website atau
ML feed lainnyadigunakan oleh
gguna Anda dapat
kukan hal ini.
Penyerangmengaitkan kepengalihan yang tidakdivalidasi danmengelabui korbanuntuk mengkliknya.Korban sangatmungkin mengkliknya,sebab link tersebut kesitus yang valid.
Penyerang mengarahke penerusan( forward ) yang tidakaman untuk mem-bypass pemeriksaankeamanan.
Aplikasi seringkali mengarahkan (redirect )pengguna ke halaman lain, atau menggunakaninternal forwards dengan cara yang serupa.Kadangkala, halaman target dispesifikasikandalam parameter yang tidak divalidasi,sehingga memperkenankan penyerangmemilih halaman tujuan.
Mendeteksi pengarahan (redirect ) yang tidakdiperiksa adalah hal mudah. Carilahpengarahan tempat Anda dapat menentukanURL-nya. Penerusan ( forward ) yang tidakdiperiksa lebih sulit dideteksi, karena merekamenyasar halaman-halaman internal.
Pengarahan semacamini dapat berusahamenginstalasimalware ataumengelabui korbanuntuk menyingkap password atauinformasi sensitiflainnya.
Penerusan yang tidakaman dapatmemungkinkanbypass kendali akses.
Pertimbangkan nilabisnismempertahankankepercayaanpengguna.
Bagaimana jikamereka dikuasai olmalware?
Bagaimana jika
penyerang dapatmengakses fungsi-fungsi yang
diperuntukkan hanuntuk kalanganinternal?
pakah Saya Rentan?a terbaik untuk mengetahui apakah suatu aplikasi mengandung
rect atau forward yang tidak divalidasi ialah:
Mereview kode untuk semua redirect atau forward (disebut
transfer dalam .NET). Untuk setiap penggunaan, identifikasi jikatarget URL disertakan dalam setiap nilai parameter. Jikademikian, pastikan parameter divalidasi agar hanya berisitujuan yang diperkenankan atau elemen tujuan.
Juga, susuri situs untuk melihat apakah ia menghasilkanberbagai redirect (HTTP response codes 300-307, biasanya302). Lihat parameter yang diberikan sebelum redirect untuk
melihat apakah ia muncul sebagai target URL atau bagian dariURL. Jika demikian, ubah URL target dan cek apakah situstersebut mengarah ke target baru.
Jika kode tidak tersedia, cek setiap parameter untuk melihatapakah mereka tampak seperti bagian dari redirector atau
forward URL tujuan dan uji mereka yang melakukan hal itu.
ReferensiOWASP
• OWASP Article on Open Redirects
• ESAPI SecurityWrapperResponse sendRedirect() method
Eksternal
• CWE Entry 601 on Open Redirects
• WASC Article on URL Redirector Abuse
• Google blog article on the dangers of open redirects
Bagaimana Saya Mencegah Hal Ini?Penggunaan redirects dan forwards yang aman dapat dilakuk
dengan berbagai cara:
1. Hindari penggunaan redirects dan forwards.
2. Jika digunakan, jangan libatkan parameter pengguna dalmenghitung tujuan. Hal ini dapat dilakukan.
3. Jika parameter tujuan tidak dapat dihindari, pastikan nilai yadiberikan valid dan terotorisasi untuk pengguna.
Direkomendasikan agar setiap parameter tujuan berupa npemetaan, daripada URL aktual atau bagian dari URL, dbahwa kode di sisi server menerjemahkan pemetaan ini ke Utarget.
Aplikasi dapat menggunakan ESAPI untuk meng-overrmetode sendRedirect() untuk memastikan semua tujuredirects aman.
Cacat semacam ini sangatlah penting untuk dihindari karemerupakan target favorit pelaku phishing untuk memperokepercayaan pengguna.
Redirects dan Forwards yangTidak DivalidasiA10
Kelemahan
keamanan
Vektor
SeranganDampak
TeknikalAgenAncaman
Dampak
Bisnis
http://www.owasp.org/index.php/Top_10_2007-Failure_to_Restrict_URL_Accesshttp://www.owasp.org/index.php/Open_redirecthttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/601.htmlhttp://projects.webappsec.org/URL-Redirector-Abusehttp://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://googlewebmastercentral.blogspot.com/2009/01/open-redirect-urls-is-your-site-being.htmlhttp://projects.webappsec.org/URL-Redirector-Abusehttp://cwe.mitre.org/data/definitions/601.htmlhttp://cwe.mitre.org/data/definitions/601.htmlhttp://www.owasp.org/index.php/Command_Injectionhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperResponse.htmlhttp://www.owasp.org/index.php/Open_redirecthttp://www.owasp.org/index.php/Top_10_2007-Failure_to_Restrict_URL_Access
8/18/2019 Owasptop 10 2010
17/22
etapkan dan Gunakan Satu Set Penuh Kendali Keamanan Umum
lepas dari apakah anda masih baru mengenal keamanan aplikasi web atau sudah sangat familiar dengan risiko-risiko ini, tug
uk menghasilkan aplikasi web yang aman atau memperbaiki aplikasi yang sudah ada, bisa jadi sulit. Jika Anda harus mengelo
tofolio aplikasi yang besar, hal ini bisa jadi mengecilkan hati.
sedia Banyak Sumber Daya OWASP Gratis dan Terbuka
tuk membantu organisasi-organisasi dan para pengembang mengurangi risiko keamanan aplikasi mereka dengan biaya ya
ktif, OWASP telah menghasilkan berbagai sumber daya gratis dan terbuka yang dapat digunakan untuk menangani keaman
kasi di organisasi anda. Berikut ini adalah beberapa sumber daya yang telah dihasilkan OWASP untuk membantu berba
anisasi menghasilkan aplikasi-aplikasi web yang aman. Pada halaman selanjutnya, kami menampilkan sumber daya tambah
WASP yang dapat membantu organisasi-organisasi tersebut dalam memverifikasi keamanan aplikasi mereka.
a banyak sumber daya tambahan OWASP yang tersedia untuk anda gunakan. Harap kunjungi OWASP Projects, ya
nampilkan semua proyek OWASP, diatur berdasarkan kualitas rilis proyek-proyek tersebut (Kualitas Rilis, Beta, atau Alph
bagian besar sumber daya OWASP tersedia di wiki kami, dan banyak dokumen OWASP dapat dipesan dalam bentuk hardcopy
Selanjutnya Apa untuk ParaPengembang+D
•Untuk menghasilkan aplikasi web yang aman, anda harus mendefinisikan apa arti “aman” untukaplikasi tersebut. OWASP merekomendasikan anda menggunakan Application SecurityVerification Standard (ASVS) sebagai suatu petunjuk untuk mengatur persyaratan keamananaplikasi anda. Apabila anda melakukan outsource, pertimbangkan OWASP Secure SoftwareContract Annex.
PersyaratanKeamanan
Aplikasi
•Daripada menyesuaikan kembali keamanan ke dalam aplikasi Anda, akan jauh lebih efektif biayauntuk merancang keamanan sejak awal. OWASP merekomendasikan OWASP Developer’s Guide
sebagai titik awal yang baik tentang bagaimana merancang keamanan sejak awal.
ArsitekturKeamanan
Aplikasi
•Membangun kendali keamanan yang kuat dan dapat digunakan sangatlah sulit. Menyediakansejumlah standar kendali keamanan bagi para pengembang sangat mempermudahpengembangan aplikasi yang aman. OWASP merekomendasikan proyek OWASP EnterpriseSecurity API (ESAPI) sebagai suatu model API keamanan yang dibutuhkan untuk menghasilkanaplikasi web yang aman. ESAPI menyediakan referensi implementasi dalam Java, .NET, PHP,Classic ASP, Python, dan Cold Fusion.
KendaliKeamanan
Standar
•Untuk meningkatkan proses yang diikuti oleh organisasi Anda ketika membangun aplikasi yangaman, OWASP merekomendasikan OWASP Software Assurance Maturity Model (SAMM). Modelini membantu organisasi memformulasikan dan mengimplementasikan strategi keamanansoftware yang disesuaikan dengan risiko-risiko spesifik yang dihadapi organisasi.
SecureDevelopment
Lifecycle
•Proyek OWASP Education menyediakan bahan pelatihan untuk membantu mengedukasipengembang mengenai keamanan aplikasi web, dan telah mengkompilasi daftar OWASPEducational Presentations. Untuk belajar hands-on mengenai vulnerabilities, cobalah OWASPWebGoat. Untuk tetap terkini, hadirilah OWASP AppSec Conference, OWASP ConferenceTraining, atau pertemuan OWASP Chapter lokal.
PendidikanKeamanan
Aplikasi
8/18/2019 Owasptop 10 2010
18/22
dikan Terorganisir
tuk memverifikasi keamanan aplikasi web yang telah anda dikembangkan atau pertimbangkan untuk dibeli, OWA
rekomendasikan anda mereview kode aplikasi (jika tersedia) dan melakukan pengujian aplikasi. OWASP merekomendasik
mbinasi review kode aplikasi dan penetration testing terhadap aplikasi selama memungkinkan, karena hal terseb
mungkinkan anda mengungkit kekuatan keduanya, dan mereka saling melengkapi satu sama lain. Perangkat-perangkat unt
mbantu proses verifikasi dapat meningkatkan efisiensi dan efektivitas seorang analis ahli. Perangkat penilaian OWA
fokus membantu seorang pakar menjadi lebih efektif, bukan mengotomasi proses analis itu sendiri.
ndardisasi Cara Melakukan Verifikasi Keamanan Aplikasi Web: Untuk membantu organisasi mengembangkan tingkat
elitian yang terdefinisi dengan baik dan konsisten saat melakukan penilaian keamanan aplikasi web, OWASP tel
nerbitkan OWASP Application Security Verification Standard (ASVS). Dokumen ini mendefinisikan standar verifikasi minimu
ika melakukan penilaian keamanan aplikasi web. OWASP merekomendasikan Anda menggunakan ASVS tidak hanya sebag
nduan tentang apa yang perlu dicari saat memverifikasi keamanan aplikasi web, tapi juga teknik apa yang paling tepat unt
unakan, serta membantu Anda mendefinisikan dan menentukan level keamanan aplikasi web ketika memverifikasi keamankasi web. OWASP juga merekomendasikan Anda menggunakan ASVS untuk membantu mendefinisikan dan memilih ja
nilaian aplikasi web yang ingin anda beli dari pihak ketiga.
ket Perangkat Penilai: OWASP Live CD Project telah mengumpulkan berbagai perangkat keamanan open source terbaik
am sebuah bootable CD environment. Para pengembang web, penguji, dan profesional keamanan dapat mem- boot dari L
ini untuk segera memiliki akses ke sebuah paket lengkap pengujian keamanan. Tidak diperlukan instalasi atau konfigur
uk menggunakan perangkat dalam CD ini.
Apa Selanjutnya Untuk Verifiers+V
eview Kode
lakukan review kode merupakan cara terbaik untuk
mverifikasi apakah suatu aplikasi aman. Pengujian hanya
pat membuktikan bahwa suatu aplikasi tidak aman.
lakukan Review Kode: Sebagai pendamping OWASP
veloper’s Guide, dan OWASP Testing Guide, OWASP telah
nerbitkan OWASP Code Review Guide untuk membantu
a pengembang dan ahli keamanan aplikasi memahami cara
lakukan review keamanan aplikasi web secara efisien dan
ktif yaitu dengan melakukan review kode. Ada banyak isu
manan aplikasi web, seperti Cacat Injeksi, yang lebihdah ditemukan dengan melakukan review kode daripada
ngan pengujian eksternal.
angkat Review Kode: OWASP telah melakukan beberapa
kerjaan menjanjikan untuk membantu para pakar dalam
lakukan analisis kode, namun perangkat ini masih berada
am tahap awal. Para penulis perangkat ini menggunakan
angkat ini dalam keseharian mereka saat melakuan review
manan kode, namun pemula mungkin menganggap
angkat tersebut sedikit sulit digunakan. Perangkat ini
ara lain adalah: CodeCrawler, Orizon, dan O2.
Keamanan dan Pengujian Penetrasi
Pengujian Aplikasi: OWASP menerbitkan Testing Gui
untuk membantu para pengembang, penguji, dan pak
keamanan web, memahami bagaimana melakukan penguj
keamanan web secara efisien dan efektif. Panduan lengk
ini, yang memiliki lusinan kontributor, memberikan cakup
yang luas pada berbagai topik keamanan aplikasi web. Sam
seperti review kode, pengujian keamanan juga memi
kekuatannya sendiri. Sangat menarik ketika Anda dap
membuktikan sebuah aplikasi tidak aman deng
menunjukkan exploit-nya. Terdapat banyak isu keamana
khususnya keamanan yang disediakan oleh infrastruktaplikasi, yang tidak dapat ditemukan hanya deng
melakukan review kode, karena aplikasi tidak menyediak
keamanannya sendiri.
Perangkat Pengujian Penetrasi Aplikasi: WebScarab, ya
merupakan salah satu proyek OWASP paling bany
digunakan, adalah sebuah proxy pengujian aplikasi we
WebScarab memungkinkan analis keamanan menyad
permintaan web, sehingga analis dapat mengetahui ca
kerja aplikasi, lalu analis dapat mengirimkan permintaan t
untuk melihat apakah aplikasi memberikan respon dengaman untuk permintaan tersebut. Perangkat ini sang
efektif dalam membantu analis mengidentifikasi cacat X
otentikasi dan kendali akses.
8/18/2019 Owasptop 10 2010
19/22
ulai Program Keamanan Aplikasi Anda Sekarang
amanan aplikasi bukan lagi sebuah pilihan. Di antara meningkatnya serangan dan tekanan regulasi, organisasi harus memil
mampuan efektif untuk mengamankan aplikasi mereka. Dengan banyaknya jumlah aplikasi dan jumlah baris kode di lingkung
duksi, banyak organisasi berjuang untuk menangani kerentanan berjumlah besar. OWASP merekomendasikan organis
mbuat program keamanan aplikasi untuk mendapatkan pandangan dan meningkatkan keamanan di seluruh portofolio aplik
reka. Memperoleh aplikasi yang aman membutuhkan berbagai bagian dalam suatu organisasi bekerja sama secara efisie
m