Celah Keamanan Aplikasi Berbasis Web – Aplikasi dengan tingkat keamanan yang rendah tentunya akan sangat berbahaya. Terlebih lagi dalam infrastruktur digital yang akan menghubungkan banyak aplikasi berbasis web. Sebagai perhatian dan meningkatkan kewaspadaan kita, OWASP telah merilis beberapa celah keamanan pada aplikasi berbasis web tersebut.
10 Celah Keamanan Aplikasi Berbasis Web
Perlu diketahui bahwa OWASP merupakan organisasi non-profit yang memang fokus pada keamanan aplikasi berbasis web yang melibatkan banyak voluntir di dalamnya. Semua hasil penelitiannya dibagikan secara gratis untuk meningkatkan keamanan aplikasi berbasis web, secara umum berikut 10 celah keamanan tersebut menurut riset OWASP :
1. Injection
Untuk aplikasi yang menggunakan SQL, OS dan LDAP celah berupa injeksi merupakan hal yang rentan terjadi. Hal ini merupakan proses memasukkan dara yang berasal dari sumber tidak terpercaya ke dalam interpreter untuk menjadi bagian dari query atau command. Hal ini dapat menipu pengguna untuk melakukan perintah tertentu maupun mengakses data rahasia pengguna tanpa izin.
2. Broken Authentication and Session Management
Seringkali fungsi yang berhubungan dengan manajemen sesi dan autentifikasi pada aplikasi berbasis web kurang terimplementasikan dengan baik. Bila hal tersebut dibiarkan hingga parah maka penyerang akan dengan mudah mencuri serta memanfaatkan kata sandi hingga data pribadi yang merugikan.
3. Cross-Site Scripting atau XSS
Salah satu kelemahan dalam XSS adalah bila aplikasi mengakses data yang kurang terpercaya serta mengirimkannya melalui web tanpa adanya konfirmasi validasi. Dari sini penyerang akan dengan leluasa menggunakan script dari browser untuk mengakses web tanpa izin karena diberikan ijin oleh XSS. Contohnya adalah mengarahkan penggunakan ke website palsu atau berbahaya.
4. Insecure Direct Object References
Maksud insecure direct object disini berhubungan saat developer mengekspos referensi ke dalam implementasi objek internal. Contohnya adalah ke dalam file, database key hingga direktori tanpa mempunyai pengecekan akses kontrol maupun perlindungan lainnya. Dengan memanipulasi referensi ini membuat penyerang akan dengan mudah mengakses data rahasia.
5. Security Misconfiguration
Berbagai jenis aplikasi, web server, framework, database server, aplikasi server hingga platform selama ini menggunakan sistem keamanan yang bagus dan terkonfigurasi. Sehingga keamanan dengan setingan default sangat tidak disarankan, selain itu pembaruan rutin aplikasi juga sebuah keharusan.
6. Sensitive Data Exposure
Banyak data sensitif dalam sebuah aplikasi berbasis web terlindungi secara layak, sebagai contohnya data kartu kredit hingga data autentifikasi. Penyerang sistem sangat mungkin mencuri atau memodifikasi data bersistem pengamanan yang lemah tersebut. Penyerangan ini guna melakukan tindakan penipuan, pencurian identitas, atau kriminalitas lain.
7. Missing Function Level Access Control
Umumnya untuk jenis aplikasi berbasis web membutuhkan verifikasi fungsi akses sebelum membuat fungsi tersebut yang ada di user interface. Namun kenyataannya aplikasi juga membutuhkan kontrol akses yang sama ke server setiap kali fungsi itu dijalankan. Apabila permintaan tidak terverifikasi, maka fungsi privat ini dapat diakses dengan mudah tanpa ijin oleh penyerang.
8. Cross-Site Request Forgery (CSRF)
Cara kerja CSRF yaitu dengan memaksa masuk ke browser pengguna dan selanjutnya mengirimkan permintaan HTTP, termasuk cookies. Selain itu berbagai informasi rahasia yang tersimpan di browser, ke aplikasi web palsu. Hal ini akan membuat pengguna seperti mengakses aplikasi tersebut secara langsung, namun sebenarnya tidak.
9. Using Known Vulnerable Components
Komponen dasar seperti database, famework, dan berbagai modul software kebanyakan dijalankan dengan hak penuh namun apabila komponen yang riskan dieksploitasi, bisa menyebabkan kehilangan data dan pengambil-alihan server.
10. Unvalidated Redirects and Forwards
Aplikasi berbasis web yang digunakan user kerap kali melakukan redirect dan forward ke halaman atau bahkan website lain. Tindakan semacam ini, tanpa validasi yang benar, dapat mengarahkan user ke laman phishing, malware, maupun menggunakannya untuk mengakses laman berbahaya lain.
Karenanya pastikan bila Anda membuat aplikasi berbasis web harus menggunakan sistem keamanan terbaru. Selain itu bila Anda menggunakan jasa pembuatan aplikasi website menggunakan jasa yang berpengalaman dan terpercaya.
