KEAMANAN WEB
Keamanan adalah salah satu factor yang harus sangat diperhatikan ketika membuat sebuah website. Kalau anda mencari standar keamanan website di internet, mungkin anda malah akan tambah bingung. Ini dikarenakan banyaknya versi standar keamanan sampai anda tidak tahu mana yang benar. Nah, sebenarnya sudah ada sebuah organisasi nirlaba international yang memiliki visi untuk menjaga keamanan cyber-termasuk website, yaitu OWASP(open web application security project).
Owasp adalah sebuah organisasi nirlaba yang focus pada keamanan web app. Owasp banyak menyediakan sumber daya agar bisa mempelajari lebih lanjut tentang keamanan web app. Sebagai salah satu prinsipnya, owasp memastikan bahwa semua informasi dan materi pembelajarannya bisa di akses dengan mudah dan gratis sehingga semua orang bisa meningkatkan keamanan website mereka.
5 dokumen owasp untuk menjaga keamanan website. Berikut ini adalah dokumen yang sering di sebut-sebut sebagai panduan penting bagi para developer.
Owasp developer guide
Sesuai dengan namanya, panduan ini memang dikhususkan untuk developer. Ini adalah satu dokumen pertama yang harus di pelajari jika ingin memiliki website dan aplikasi yang aman. Pertama kali rilis lebih dari 15 tahun yang lalu. Owasp sudah banyak melakukan revisi dari tahun 2014 agar panduannya sesuai untuk jaman sekarang. Guide ini dibuat agar para developer bisa membangun website atau software untuk organisasi mereka dengan menggunakan coding yang memiliki system yang aman . guide ini berisikan prinsip-prinsip yang harus diikuti dalam proses codingnya.
owasp application security verification standard(ASVS)
Kalau membicarakan soal standar keamanan website, belum ada standar universal yang bisa digunakan sebagai alat ukurnya. Oleh karena itu, owasp mengambil inisiatif untuk membuat standar keamanan website yang bisa digunakan di seluruh dunia yang mereka beri nama application security verification standard(asvs). ASVS adalah sebuah daftar persyaratan untuk memberi tahu para developer apakah sebuah aplikasi itu aman untuk digunakan oleh organisasi, vendor, dan customer.
ASVS ini sudah dipisahkan ke beberapa level dimana mereka menjelaskan dengan lebih detail untuk berbagai jenis aplikasi dan software. Ada tiga level yang mereka bahas yaitu opportunistic level unt uk software umum ,standard level untuk aplikasi yang mengandung data sensitive, dan advanced level untuk aplikasi –aplikasi seperti aplikasi rumah sakit, software dan aplikasi bank, website dan software pemerintahan, dan sejenisnya. ASVS bisa dibilang merupakan resource yang dalam untuk keamanan website karena mereka menjelaskan langkah demi langkah.
Security knowledge framework
Security knowledge framework adalah sebuah tool yang di desain untuk membantu developer membangun software yang aman. Framework ini dibangun berdasarkan standard ASVS sehingga developer bisa dengan mudah mengerti dan mengimplementasikan persyaratan keamanan.
Developer cheat sheet series
Karena owasp berkomitmen untuk membantu meningkatkan security website, mereka ingin membangun expertise mereka dibidang keamanan website untuk menedukasi developer. Salah satu caranya adalah dengan membuat developer cheat sheet series. Organisasi ini meminta bantuan dari pakar-pakar keamanan website di seluruh dunia untuk membuat guide yang dalam dan lengkap. Membahas berbagai kelemahan , protocol keamanan dan bagaimana mereka ada pada bahasa-bahasa pemrogramming terkenal. Cheat sheet ini di desain dengan bentuk bullet points jadi developer bisa mengerti best practices keamanan dan syarat-syaratnya dengan lebih mudah.
Owasp top 10
Dokumen yang terakhir ini adalah salah satu resource owasp yang paling terkenal. Mungkin setelah anda mempelajari semua dokumen di atas, ada kalanya anda memerlukan sebuah checklist untuk memastikan bahwa website anda sudah aman. Jawabannya ada pada owasp top 10. Untuk tahu lebih banyak tentang owasp top 10. Mari kita pelajari lebih banyak tentang owasp top 10.
Owasp top 10 checklist standard keamanan website
Owasp top10 adalah sebuah panduan bagi para developer dan security team tentang kelemahan-kelemahan pada web apps yang mudah di serang dan harus segera disiasati.
Kelemahan-kelemahan ini memudahkan hacker untuk menanam malware, mencuri data atau secara rutin oleh sebuah tim yang terdiri dari pakar-pakar keamanan website di seluruh dunia.owasp merekomendasikan perusahaan-perusahaan untuk memperhatikan kesepuluh masalah yang ada pada dokumen ini untuk mengamankan website dan data mereka daari encaman hacker.
Berikut ini adalah penjelasan singkat dari kesepuluh ancaman keamanan website yang ada pada owasp top 10 2017.
Injection
serangan injection biasanya terjadi jika ada data yang tidak terpercaya dikirim ke sebuah code interpreter melalui sebuah formulir yang sebenarnya hanya meminta data plaintext. Kalau formulir input ini tidak diamankan dengan baik maka code SQL nya bisa saja dijalankan . ini adalah contoh serangan injection SQL. Nah, serangan injection ini bisa dicegah dengan memvalidasi dan membersihkan data yang dimasukkanoleh user. Validasi yang dimaksud disini adalah menolak data-data yang terlihat mencurigakan. Membersihkan data berarti menghapus semua data-data mencurigakan tersebut. Tidak hanya itu, admin database juga bisa meminimalkan jumlah informasi yang mungkin terexpose ke serangan injection.
Broken authentication
Kelemahan pada system login bisa memberi hacker akses ke akaun user. Tidak hanya itu mereka bisa menguasai seluruh system dengan meng-hack akun admin. Untuk memitigasi kelemahan authentication, anda bisa menggunakan 2 faktor authentication(2FA).
Sensitive data exposure
jika sebuah website menyimpan data-data sensitive penggunanya, tentunya akan bahaya jika mereka tidak menjaga keamananya. Untuk mengurangi kemungkinan pencurian data, anda bisa mengenskripsi data-data sensitifnya. Developer juga harus memastikan bahwa website tidak menyimpan data-data sensitive yang sebenarnya tidak dibutuhkan.
XML External entities
Ini adalah serangan ke website dan aplikasi yang menganalisa input XML. Input ini bisa mereferensinkan entity external untuk mengetahui kelemahan yang ada pada input XMnya. Entity external yang di maksud biasanya berupa unit penyimpanan, seperti misalnya hard drive. Analisa input XML bisa dibuat seakan-akan mereka mengirim data ke entity external yang tidak dipercaya, dimana mereka bisa mengirim data-data sensitive ke hackernya langsung. Cara terbaik untuk mengatasi XEE ini adalah dengan memiliki web app yang mengandung jenis data yang tidak terlalu kompleks.
Broken acces control
Acces control pada poin ini mengacu kepada system control yang mengakses informasi dan fungsionalitasnya.acces control yang rusak memungkinkan penyerang untuk melewati proses autorisasi dan melakukan hal-hal yang biasanya hanya bisa dilakukan oleh admin.
Security misconfiguration
Kesalahan konfigurasi keamanan adalah kelemahan yang paling sering terjadi diantaranya kelemahan lain di daftar ini. Biasanya kesalahan terjadi jika anda hanya menggunakan default konigurasi tanpa melihat kebutuhan website.
Cross site scripting
Kelemahan cross site scripting akan terjadi pada web app jika web app tersebut mengijinkan user untuk menambahkan kode custom ke sebuah path URL atau ke website yang dilihat oleh user lain. Kelemahan ini biasanya dimanfaatkan untuk menjalankan kode javascript yang berbahaya pada browser korban. Contohya, jika seorang hacker mengirim email ke korban dengan mengatas namakan nama bank tersebut dan menyertakan link ke website bank tersebut, mereka bisa saja menaruh kode javascript berbahaya ke dalamnya. Kalau website bank tidak terlindungi dengan baik, nasabah anda akan menjadi korban.
Insecure deserialization
Untuk mengerti apa masalah dari kelemahan ini, kita harus mengerti dulu apa arti dari serialisasi dan deserialisasi. Serialisasi adalah proses dimana object diambil dari kode aplikasi dan di-convert ke format lain sehingga bisa digunakan untuk keperluan lain, misalnya untuk menyimpan data ke sebuah disk. Deserialisasi berarti sebaliknya, mengconvert data yang sudah diserialisasi kembali object yang digunakan oleh aplikasinya. Insecure deserialization atau deserialisasi yang kurang aman bisa saja di serang dengan memanfaatkan data dari asal yang tidak di percaya. Ini bisa menyebabkan terjadinya serangan DDoS. Untuk mencegah ini terjadi, anda perlu melarang deserialisasi dari data yang tidak dipercaya.
Using component with known vulnerabilities
Kebanyakan web developer menggunakan komponen seperti libraries dan frameworks di web app mereka. Komponen-komponen ini adalah kumpulan software yang menolong developers untuk bekerja dengan lebih efisien.beberapa hacker biasa mencari kelemahan yang ada pada komponen-komponen ini agar mereka bisa melekukan serangan. Oleh oleh karena itu , developer harus selalu memastikan bahwa komponen-komponen ini sudah diupdate agar tetap aman
Insufficient logging and monitoring
Kebanyakan web app tidak mengambil langkah yang cukup untuk mendeteksi penembusan data. Rata-rata orang baru sadar kalau terjadi penembusan di website mereka setelah 200 hari. Ini tentunya memberikan penyerang banyak waktu untuk melakukan penyerangan. Owasp merekomendasikan developer untuk mengimplementasikan logging monitoring serta rencana response insiden agar mereka tahu jika ada penyerangan yang terjadi pada aplikasi mereka.
bisa download doc sama pdf-nya disini
KEAMANAN WEB
Keamanan adalah salah satu factor yang harus sangat diperhatikan ketika membuat sebuah website. Kalau anda mencari standar keamanan website di internet, mungkin anda malah akan tambah bingung. Ini dikarenakan banyaknya versi standar keamanan sampai anda tidak tahu mana yang benar. Nah, sebenarnya sudah ada sebuah organisasi nirlaba international yang memiliki visi untuk menjaga keamanan cyber-termasuk website, yaitu OWASP(open web application security project).
Owasp adalah sebuah organisasi nirlaba yang focus pada keamanan web app. Owasp banyak menyediakan sumber daya agar bisa mempelajari lebih lanjut tentang keamanan web app. Sebagai salah satu prinsipnya, owasp memastikan bahwa semua informasi dan materi pembelajarannya bisa di akses dengan mudah dan gratis sehingga semua orang bisa meningkatkan keamanan website mereka.
5 dokumen owasp untuk menjaga keamanan website. Berikut ini adalah dokumen yang sering di sebut-sebut sebagai panduan penting bagi para developer.
Owasp developer guide
Sesuai dengan namanya, panduan ini memang dikhususkan untuk developer. Ini adalah satu dokumen pertama yang harus di pelajari jika ingin memiliki website dan aplikasi yang aman. Pertama kali rilis lebih dari 15 tahun yang lalu. Owasp sudah banyak melakukan revisi dari tahun 2014 agar panduannya sesuai untuk jaman sekarang. Guide ini dibuat agar para developer bisa membangun website atau software untuk organisasi mereka dengan menggunakan coding yang memiliki system yang aman . guide ini berisikan prinsip-prinsip yang harus diikuti dalam proses codingnya.
owasp application security verification standard(ASVS)
Kalau membicarakan soal standar keamanan website, belum ada standar universal yang bisa digunakan sebagai alat ukurnya. Oleh karena itu, owasp mengambil inisiatif untuk membuat standar keamanan website yang bisa digunakan di seluruh dunia yang mereka beri nama application security verification standard(asvs). ASVS adalah sebuah daftar persyaratan untuk memberi tahu para developer apakah sebuah aplikasi itu aman untuk digunakan oleh organisasi, vendor, dan customer.
ASVS ini sudah dipisahkan ke beberapa level dimana mereka menjelaskan dengan lebih detail untuk berbagai jenis aplikasi dan software. Ada tiga level yang mereka bahas yaitu opportunistic level unt uk software umum ,standard level untuk aplikasi yang mengandung data sensitive, dan advanced level untuk aplikasi –aplikasi seperti aplikasi rumah sakit, software dan aplikasi bank, website dan software pemerintahan, dan sejenisnya. ASVS bisa dibilang merupakan resource yang dalam untuk keamanan website karena mereka menjelaskan langkah demi langkah.
Security knowledge framework
Security knowledge framework adalah sebuah tool yang di desain untuk membantu developer membangun software yang aman. Framework ini dibangun berdasarkan standard ASVS sehingga developer bisa dengan mudah mengerti dan mengimplementasikan persyaratan keamanan.
Developer cheat sheet series
Karena owasp berkomitmen untuk membantu meningkatkan security website, mereka ingin membangun expertise mereka dibidang keamanan website untuk menedukasi developer. Salah satu caranya adalah dengan membuat developer cheat sheet series. Organisasi ini meminta bantuan dari pakar-pakar keamanan website di seluruh dunia untuk membuat guide yang dalam dan lengkap. Membahas berbagai kelemahan , protocol keamanan dan bagaimana mereka ada pada bahasa-bahasa pemrogramming terkenal. Cheat sheet ini di desain dengan bentuk bullet points jadi developer bisa mengerti best practices keamanan dan syarat-syaratnya dengan lebih mudah.
Owasp top 10
Dokumen yang terakhir ini adalah salah satu resource owasp yang paling terkenal. Mungkin setelah anda mempelajari semua dokumen di atas, ada kalanya anda memerlukan sebuah checklist untuk memastikan bahwa website anda sudah aman. Jawabannya ada pada owasp top 10. Untuk tahu lebih banyak tentang owasp top 10. Mari kita pelajari lebih banyak tentang owasp top 10.
Owasp top 10 checklist standard keamanan website
Owasp top10 adalah sebuah panduan bagi para developer dan security team tentang kelemahan-kelemahan pada web apps yang mudah di serang dan harus segera disiasati.
Kelemahan-kelemahan ini memudahkan hacker untuk menanam malware, mencuri data atau secara rutin oleh sebuah tim yang terdiri dari pakar-pakar keamanan website di seluruh dunia.owasp merekomendasikan perusahaan-perusahaan untuk memperhatikan kesepuluh masalah yang ada pada dokumen ini untuk mengamankan website dan data mereka daari encaman hacker.
Berikut ini adalah penjelasan singkat dari kesepuluh ancaman keamanan website yang ada pada owasp top 10 2017.
Injection
serangan injection biasanya terjadi jika ada data yang tidak terpercaya dikirim ke sebuah code interpreter melalui sebuah formulir yang sebenarnya hanya meminta data plaintext. Kalau formulir input ini tidak diamankan dengan baik maka code SQL nya bisa saja dijalankan . ini adalah contoh serangan injection SQL. Nah, serangan injection ini bisa dicegah dengan memvalidasi dan membersihkan data yang dimasukkanoleh user. Validasi yang dimaksud disini adalah menolak data-data yang terlihat mencurigakan. Membersihkan data berarti menghapus semua data-data mencurigakan tersebut. Tidak hanya itu, admin database juga bisa meminimalkan jumlah informasi yang mungkin terexpose ke serangan injection.
Broken authentication
Kelemahan pada system login bisa memberi hacker akses ke akaun user. Tidak hanya itu mereka bisa menguasai seluruh system dengan meng-hack akun admin. Untuk memitigasi kelemahan authentication, anda bisa menggunakan 2 faktor authentication(2FA).
Sensitive data exposure
jika sebuah website menyimpan data-data sensitive penggunanya, tentunya akan bahaya jika mereka tidak menjaga keamananya. Untuk mengurangi kemungkinan pencurian data, anda bisa mengenskripsi data-data sensitifnya. Developer juga harus memastikan bahwa website tidak menyimpan data-data sensitive yang sebenarnya tidak dibutuhkan.
XML External entities
Ini adalah serangan ke website dan aplikasi yang menganalisa input XML. Input ini bisa mereferensinkan entity external untuk mengetahui kelemahan yang ada pada input XMnya. Entity external yang di maksud biasanya berupa unit penyimpanan, seperti misalnya hard drive. Analisa input XML bisa dibuat seakan-akan mereka mengirim data ke entity external yang tidak dipercaya, dimana mereka bisa mengirim data-data sensitive ke hackernya langsung. Cara terbaik untuk mengatasi XEE ini adalah dengan memiliki web app yang mengandung jenis data yang tidak terlalu kompleks.
Broken acces control
Acces control pada poin ini mengacu kepada system control yang mengakses informasi dan fungsionalitasnya.acces control yang rusak memungkinkan penyerang untuk melewati proses autorisasi dan melakukan hal-hal yang biasanya hanya bisa dilakukan oleh admin.
Security misconfiguration
Kesalahan konfigurasi keamanan adalah kelemahan yang paling sering terjadi diantaranya kelemahan lain di daftar ini. Biasanya kesalahan terjadi jika anda hanya menggunakan default konigurasi tanpa melihat kebutuhan website.
Cross site scripting
Kelemahan cross site scripting akan terjadi pada web app jika web app tersebut mengijinkan user untuk menambahkan kode custom ke sebuah path URL atau ke website yang dilihat oleh user lain. Kelemahan ini biasanya dimanfaatkan untuk menjalankan kode javascript yang berbahaya pada browser korban. Contohya, jika seorang hacker mengirim email ke korban dengan mengatas namakan nama bank tersebut dan menyertakan link ke website bank tersebut, mereka bisa saja menaruh kode javascript berbahaya ke dalamnya. Kalau website bank tidak terlindungi dengan baik, nasabah anda akan menjadi korban.
Insecure deserialization
Untuk mengerti apa masalah dari kelemahan ini, kita harus mengerti dulu apa arti dari serialisasi dan deserialisasi. Serialisasi adalah proses dimana object diambil dari kode aplikasi dan di-convert ke format lain sehingga bisa digunakan untuk keperluan lain, misalnya untuk menyimpan data ke sebuah disk. Deserialisasi berarti sebaliknya, mengconvert data yang sudah diserialisasi kembali object yang digunakan oleh aplikasinya. Insecure deserialization atau deserialisasi yang kurang aman bisa saja di serang dengan memanfaatkan data dari asal yang tidak di percaya. Ini bisa menyebabkan terjadinya serangan DDoS. Untuk mencegah ini terjadi, anda perlu melarang deserialisasi dari data yang tidak dipercaya.
Using component with known vulnerabilities
Kebanyakan web developer menggunakan komponen seperti libraries dan frameworks di web app mereka. Komponen-komponen ini adalah kumpulan software yang menolong developers untuk bekerja dengan lebih efisien.beberapa hacker biasa mencari kelemahan yang ada pada komponen-komponen ini agar mereka bisa melekukan serangan. Oleh oleh karena itu , developer harus selalu memastikan bahwa komponen-komponen ini sudah diupdate agar tetap aman
Insufficient logging and monitoring
Kebanyakan web app tidak mengambil langkah yang cukup untuk mendeteksi penembusan data. Rata-rata orang baru sadar kalau terjadi penembusan di website mereka setelah 200 hari. Ini tentunya memberikan penyerang banyak waktu untuk melakukan penyerangan. Owasp merekomendasikan developer untuk mengimplementasikan logging monitoring serta rencana response insiden agar mereka tahu jika ada penyerangan yang terjadi pada aplikasi mereka.
bisa download doc sama pdf-nya disini
KEAMANAN WEB
0 Response to "develop wajib tahu keamanan ini...terbaru"
Post a Comment