OWASP Top 10 adalah daftar dari risiko keamanan aplikasi web yang paling kritis. Versi terbaru dari OWASP Top 10 adalah OWASP Top 10 - 2017. Daftar ini memberikan pemahaman yang jelas tentang jenis-jenis serangan yang paling umum dan sering terjadi pada aplikasi web, sehingga membantu para pengembang dan profesional keamanan untuk fokus pada mitigasi risiko yang paling penting.
Berikut adalah daftar kerentanan yang termasuk dalam OWASP Top 10 - 2017:
1. Injeksi
Injeksi adalah kerentanan yang terjadi ketika data yang tidak dapat dipercaya dimasukkan ke dalam interpreter sebagai bagian dari perintah atau query. Jenis-jenis injeksi yang umum meliputi SQL, OS, dan LDAP injection. Penyerang dapat menggunakan kerentanan ini untuk mengeksekusi perintah yang tidak diinginkan atau mengakses data tanpa otorisasi yang sesuai.
2. Kerusakan Otentikasi dan Manajemen Sesi
Kerusakan otentikasi terjadi ketika ada kerentanan dalam proses otentikasi yang memungkinkan penyerang untuk melewati atau meniadakan mekanisme otentikasi. Kerusakan manajemen sesi, di sisi lain, memungkinkan penyerang untuk mengambil alih sesi pengguna yang sah setelah mereka berhasil diautentikasi.
3. Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) memungkinkan penyerang untuk menyisipkan skrip jahat ke dalam halaman web yang dilihat oleh pengguna lain. Serangan XSS dapat digunakan untuk mencuri cookie sesi pengguna, mencuri data sensitif, dan melakukan tindakan jahat lainnya.
4. Kerusakan Kontrol Akses
Kerusakan kontrol akses terjadi ketika sistem tidak menerapkan kontrol akses yang memadai, sehingga memungkinkan penyerang untuk mendapatkan akses yang tidak sah ke fungsi atau data yang seharusnya terbatas.
5. Konfigurasi Keamanan yang Salah
Konfigurasi keamanan yang salah terjadi ketika sistem tidak dikonfigurasi dengan benar, meninggalkan celah yang dapat dimanfaatkan oleh penyerang untuk melakukan serangan.
6. Penemuan Data Sensitif
Penemuan data sensitif terjadi ketika aplikasi web mengungkapkan informasi sensitif, seperti data pribadi atau informasi login, kepada penyerang yang tidak sah.
7. Menggunakan Komponen dengan Kerentanan yang Diketahui
Menggunakan komponen dengan kerentanan yang diketahui terjadi ketika aplikasi menggunakan komponen atau perpustakaan yang sudah dikenal memiliki kerentanan keamanan yang belum diperbaiki.
8. Perlindungan Kriptografi yang Kurang
Perlindungan kriptografi yang kurang terjadi ketika aplikasi web tidak menggunakan kriptografi dengan benar untuk melindungi data sensitif.
9. Logging dan Monitoring yang Kurang
Logging dan monitoring yang kurang membuat sulit bagi administrator sistem untuk mendeteksi serangan atau kejadian yang mencurigakan.
10. Redirect dan Forward yang Tidak Valid
Redirect dan forward yang tidak valid terjadi ketika aplikasi web mengarahkan pengguna ke halaman atau situs lain tanpa melakukan validasi yang memadai, sehingga meninggalkan celah yang dapat dimanfaatkan oleh penyerang.
Dua kerentanan teratas dalam daftar OWASP Top 10 yang dianggap paling menarik dan penting oleh banyak ahli adalah Injeksi dan Cross-Site Scripting (XSS). Kedua kerentanan ini dianggap kritis karena dapat menyebabkan data breaches, hilangnya informasi sensitif, dan insiden keamanan lain yang serius. Oleh karena itu, sangat penting bagi pengembang dan profesional keamanan untuk memahami dan memitigasi risiko yang terkandung dalam OWASP Top 10 - 2017.
0 Comments