Web Application Security
1. Definisi dan aturan OWSP
Open Web Application Security Project (OWASP) adalah sebuah komunitas terbuka yang bertujuan untuk memberdayakan organisasi untuk mengembangkan, membeli, dan memelihara aplikasi yang dapat dipercaya keamanannya. Ada 4 level verifikasi keamanan untuk aplikasi web. Dalam OSI layer, keamanan ini berada pada tingkat Application Layer.
2. 10 kerentanan/vulnerability aplikasi berbasis web
| Kategori | Ancaman | |
| 1 | Validasi masukan | Buffer overflow; cross-site scripting; SQL injection;canonicalization |
| 2 | Otentikasi | Jaringan menguping; serangan brute force;kamus serangan; ulangan cookie; pencurian credential |
| 3 | Otorisasi | Ketinggian hak istimewa; pengungkapan data rahasia, data gangguan, serangan memikat |
| 4 | Manajemen konfigurasi | Akses tidak sah ke antarmuka administrasi, akses tidak sah ke toko konfigurasi; pengambilan data konfigurasi teks yang jelas, kurangnya akuntabilitas individu; proses overprivileged dan account layanan |
| 5 | Data sensitif | Akses data sensitif dalam penyimpanan; menguping jaringan, data gangguan |
| 6 | Sesi manajemen | Sesi pembajakan; ulangan sesi; manusia di tengah |
| 7 | Kriptografi | Miskin kunci generasi atau manajemen kunci; enkripsi lemah atau kustom |
| 8 | Manipulasi parameter | Query string manipulasi; bentuk manipulasi lapangan; manipulasi cookie; HTTP Header manipulasi |
| 9 | Pengecualian manajemen | Pengungkapan informasi; penolakan layanan |
| 10 | Audit dan logging | Pengguna menyangkal melakukan operasi; penyerang mengeksploitasi aplikasi tanpa bekas; penyerang menutupi jalur nya |
3. Contoh kasus kejahatan dengan menggunaka aplikasi berbasis web dan solusi
Cara Penyerangan :
Pencurian sebuah akun dalam internet biasanya terjadi karena kelalaian dan ketidak hati – hatian seorang pengguna internet itu sendiri. Tetapi ada juga kasus yang memang terjadi karena kecerdikan dari pencuri aku tersebut. Pencurian ini dapat dilakukan melalui berbagai cara seperti keylogger yang dapat mencatat setiap input dari keyboard, phishing menggunakan situs palsu yang identik dengan situs aslinya dan meminta inputan username dan password pengguna. Selain itu phising juga dapat dilakukan melalui email yang berpura – pura mengatasnamakan perusahaan /penyedia layanan dalam internet agar pengguna mengirimkan password dan usernamenya karena sedang terjadi kesalahan teknis dan memerlukan password dan username pengguna. Biasanya akun – akun yang di cari oleh para pencuri ini adalah akun bank, ataupun akun email dari pengguna.
Cara Penanggulangan :
Selama berselancar dalam dunia maya seorang user wajib selalu waspada dalam setiap hal yangdilakukan apalagi dalam hal yang menyangkut dengan identitas pribadi. Karena apabila tidak berhati – hati maka bisa saja identitas user tersebut disalah gunakan oleh orang yang tidak bertanggung jawab. Selain itu setiap melakukan hal yang menyangkut username, password, dan data pribadi lainnya hendaklah selalu menggunakan koneksi yang terenkripsi. Biasanya situs yang baik sudah menyediakan layanan ini, tanda bahwa situs sudah menggunakan enkripsi biasanya terlihat pada url yang menggunakan HTTPS ataupun SSL.
Referensi
http://blog.binadarma.ac.id
https://securityinabox.org
http://galangromadhon.wordpress.com
Improving Web Apllication Security (Meier dkk, 2003)
Tags:
security