10 ancaman keamanan di internet
Ketika merancang sebuah website atau blog sering kita tidak memperhatikan tentang adanya ancaman keamanan di internet. Setelah fungsi aplikasi berjalan maka tahap selanjutnya adalah memperhatikan faktor security. Ada 10 ancaman keamanan yang menjadi perhatian penting versi Open Web Application Security Project (OWASP) yang perlu kita perhatikan yaitu:
1. Injeksi, Kelemahan injeksi, seperti injeksi SQL, OS, dan LDAP, terjadi ketika data yang tidak dapat dipercaya dikirim ke suatu interpreter sebagai bagian dari suatu perintah atau query. Data berbahaya dari penyerang tersebut dapat mengelabui interpreter untuk mengeksekusi perintah yang tidak direncanakan, atau untuk mengakses data yang tidak terotorisasi.
2. Cross-Site Scripting (XSS), Kelemahan XSS terjadi ketika aplikasi mengambil data yang tidak dapat dipercaya dan mengirimnya ke suatu web browser tanpa validasi yang memadai. XSS memungkinkan penyerang mengeksekusi script-script di dalam browser korban, yang dapat membajak sesi pengguna, mengubah tampilan website, atau mengarahkan pengguna ke situs-situs jahat.
3. Otentikasi dan Pengelolaan Sesi yang Buruk, Fungsi-fungsi aplikasi yang berhubungan dengan otentikasi dan pengelolaan sesi seringkali tidak dimplementasikan dengan benar. Hal ini memungkinkan penyerang mendapatkan password, key, dan token-token sesi, atau mengeksploitasi cacat implementasi lainnya untuk memperoleh identitas pengguna yang lain.
4. Referensi Obyek Langsung Yang Tidak Aman, Direct object reference terjadi ketika pengembang mengekspos referensi ke suatu objek implementasi internal, seperti file, direktori, atau kunci database. Tanpa adanya suatu pemeriksaan kendali akses atau perlindungan lainnya, penyerang dapat memanipulasi referensi-referensi ini untuk mengakses data yang tidak terotorisasi.
5. Cross-Site Request Forgery (CSRF), Suatu serangan CSRF memaksa browser korban yang sudah log-on untuk mengirim HTTP request yang dipalsukan, termasuk di dalamnya session cookie korban dan informasi otentikasi lain yang otomatis disertakan, ke suatu aplikasi web yang rentan. Hal ini memungkinkan penyerang untuk memaksa browser korban menghasilkan request yang dianggap sah oleh aplikasi rentan tadi.
6. Kesalahan Konfigurasi Keamanan, Keamanan yang baik mensyaratkan dimilikinya suatu konfigurasi keamanan (yang terdefinisi dan diterapkan) untuk aplikasi, framework, server aplikasi, web server, server database, dan platform. Semua pengaturan ini harus didefinisikan, diimplementasikan,dan dipelihara, karena terdapat banyak aplikasi yang dirilis tanpa konfigurasi default yang aman. Hal ini juga mencakup menjaga semua software up-to-date, termasuk semua pustaka kode yang digunakan aplikasi tersebut.
7. Penyimpanan Kriptografi yang Tidak Aman, Banyak aplikasi web yang tidak melindungi data sensitif (seperti data kartu kredit, SSN, kredensial otentikasi) dengan enkripsi atau hashing yang memadai. Penyerang dapat mencuri atau memodifikasi data dengan perlindungan lemah semacam itu untuk melakukan pencurian identitas, kejahatan kartu kredit, atau kriminalitas lain.
8. Kegagalan Membatasi Akses URL, Banyak aplikasi web memeriksa hak akses URL sebelum memberikan link dan tombol-tombol yang diproteksi. Bagaimanapun juga, aplikasi perlu melakukan pemeriksaan kendali akses yang serupa setiap kali halaman-halaman ini diakses, atau penyerang akan dapat memalsukan URL untuk mengakses halaman-halaman yang tersembunyi ini,
9. Perlindungan yang Tidak Cukup pada Layer Transport, Aplikasi seringkali gagal untuk mengotentikasi, mengenkripsi, dan melindungi kerahasiaan serta integritas lalu-lintas jaringan yang sensitif. Ketika aplikasi gagal melakukan hal-hal tersebut, adalah dikarenakan ia mendukung algoritma yang lemah, menggunakan sertifikat yang tidak valid atau sudah kadaluarsa, atau karena tidak menggunakannya dengan benar.
10. Redirect dan Forward yang Tidak Divalidasi, Aplikasi web seringkali mengarahkan (redirect) dan meneruskan (forward) pengguna ke halaman dan website lain, dan mengunakan data yang tidak dapat dipercaya untuk menentukan halaman tujuan. Tanpa validasi yang tepat, penyerang dapat mengarahkan korban ke situs phishing atau malware, atau menggunakan forward untuk mengakses halaman yang tidak terotorisasi.
1. Injeksi, Kelemahan injeksi, seperti injeksi SQL, OS, dan LDAP, terjadi ketika data yang tidak dapat dipercaya dikirim ke suatu interpreter sebagai bagian dari suatu perintah atau query. Data berbahaya dari penyerang tersebut dapat mengelabui interpreter untuk mengeksekusi perintah yang tidak direncanakan, atau untuk mengakses data yang tidak terotorisasi.
2. Cross-Site Scripting (XSS), Kelemahan XSS terjadi ketika aplikasi mengambil data yang tidak dapat dipercaya dan mengirimnya ke suatu web browser tanpa validasi yang memadai. XSS memungkinkan penyerang mengeksekusi script-script di dalam browser korban, yang dapat membajak sesi pengguna, mengubah tampilan website, atau mengarahkan pengguna ke situs-situs jahat.
3. Otentikasi dan Pengelolaan Sesi yang Buruk, Fungsi-fungsi aplikasi yang berhubungan dengan otentikasi dan pengelolaan sesi seringkali tidak dimplementasikan dengan benar. Hal ini memungkinkan penyerang mendapatkan password, key, dan token-token sesi, atau mengeksploitasi cacat implementasi lainnya untuk memperoleh identitas pengguna yang lain.
4. Referensi Obyek Langsung Yang Tidak Aman, Direct object reference terjadi ketika pengembang mengekspos referensi ke suatu objek implementasi internal, seperti file, direktori, atau kunci database. Tanpa adanya suatu pemeriksaan kendali akses atau perlindungan lainnya, penyerang dapat memanipulasi referensi-referensi ini untuk mengakses data yang tidak terotorisasi.
5. Cross-Site Request Forgery (CSRF), Suatu serangan CSRF memaksa browser korban yang sudah log-on untuk mengirim HTTP request yang dipalsukan, termasuk di dalamnya session cookie korban dan informasi otentikasi lain yang otomatis disertakan, ke suatu aplikasi web yang rentan. Hal ini memungkinkan penyerang untuk memaksa browser korban menghasilkan request yang dianggap sah oleh aplikasi rentan tadi.
6. Kesalahan Konfigurasi Keamanan, Keamanan yang baik mensyaratkan dimilikinya suatu konfigurasi keamanan (yang terdefinisi dan diterapkan) untuk aplikasi, framework, server aplikasi, web server, server database, dan platform. Semua pengaturan ini harus didefinisikan, diimplementasikan,dan dipelihara, karena terdapat banyak aplikasi yang dirilis tanpa konfigurasi default yang aman. Hal ini juga mencakup menjaga semua software up-to-date, termasuk semua pustaka kode yang digunakan aplikasi tersebut.
7. Penyimpanan Kriptografi yang Tidak Aman, Banyak aplikasi web yang tidak melindungi data sensitif (seperti data kartu kredit, SSN, kredensial otentikasi) dengan enkripsi atau hashing yang memadai. Penyerang dapat mencuri atau memodifikasi data dengan perlindungan lemah semacam itu untuk melakukan pencurian identitas, kejahatan kartu kredit, atau kriminalitas lain.
8. Kegagalan Membatasi Akses URL, Banyak aplikasi web memeriksa hak akses URL sebelum memberikan link dan tombol-tombol yang diproteksi. Bagaimanapun juga, aplikasi perlu melakukan pemeriksaan kendali akses yang serupa setiap kali halaman-halaman ini diakses, atau penyerang akan dapat memalsukan URL untuk mengakses halaman-halaman yang tersembunyi ini,
9. Perlindungan yang Tidak Cukup pada Layer Transport, Aplikasi seringkali gagal untuk mengotentikasi, mengenkripsi, dan melindungi kerahasiaan serta integritas lalu-lintas jaringan yang sensitif. Ketika aplikasi gagal melakukan hal-hal tersebut, adalah dikarenakan ia mendukung algoritma yang lemah, menggunakan sertifikat yang tidak valid atau sudah kadaluarsa, atau karena tidak menggunakannya dengan benar.
10. Redirect dan Forward yang Tidak Divalidasi, Aplikasi web seringkali mengarahkan (redirect) dan meneruskan (forward) pengguna ke halaman dan website lain, dan mengunakan data yang tidak dapat dipercaya untuk menentukan halaman tujuan. Tanpa validasi yang tepat, penyerang dapat mengarahkan korban ke situs phishing atau malware, atau menggunakan forward untuk mengakses halaman yang tidak terotorisasi.
Komentar
Posting Komentar