Keamanan Web seharusnya merupakan prioritas no.1 yang harus selalu di pertimbangkan oleh seorang web administrator dan web developer, tetapi umumnya para pembuat web akan memprioritaskan bagaimana membuat web yang menarik bagi pengunjung dan menempatkan keamanan web di urutan ke-sekian. Padahal, umumnya aplikasi web adalah penghubung terdepan antara user ataupun attacker, sekaligus sebagai pintu masuk ke seluruh data yang relatif penting milik perusahaan anda.
Para pembuat/penyedia web umumnya mengkategorikan keamanan web sebagai suatu hal yang hanya perlu di pikirkan setelah web itu di buat dan siap di gunakan oleh pengguna. Banyak ahli keamanan web bahkan menyatakan bahwa, umumnya keseluruhan website yang ada di internet rentan untuk di kuasai oleh penyerang, dan celah tersebut umumnya relatif gampang ditemukan bahkan untuk di eksploitasi.
Ditahun 2007 ini suatu organisasi non-profit Open Web Application Security Project (OWASP) telah merilis satu buah daftar berisi 10 celah teratas yang dapat mengancam website anda, daftar ini pertama kali di rilis di tahun 2004. Daftar yang dibuat di tahun 2007 ini telah sangat berkembang, teknologi web (2.0) baru seperti AJAX dan RIA (Rich internet Application) yang membuat tampilan website semakin menarik dan mengakibatkan timbul berbagai jenis celah baru pun telah di ikutkan.
Berikut adalah daftar yang di keluarkan oleh OWASP dalam "Top 10 2007" :
A1 - Cross Site Scripting (XSS)
Celah XSS, adalah saat pengguna web aplikasi dapat memasukkan data dan mengirimkan ke web browser tanpa harus melakukan validasi dan encoding terhadap isi data tersebut, Celah XSS mengakibatkan penyerang dapat menjalankan potongan kode (script) miliknya di browser target, dan memungkinkan untuk mencuri user session milik target, bahkan sampai menciptakan Worm.
A2 - Injection Flaws
Celah Injeksi, umumnya injeksi terhadap SQL (database) dari suatu aplikasi web. Hal ini mungkin terjadi apabila pengguna memasukkan data sebagai bagian dari perintah (query) yang menipu interpreter untuk menjalankan perintah tersebut atau merubah suatu data.
A3 - Malicious File Execution
Celah ini mengakibatkan penyerang dapat secara remote membuat file yang berisi kode dan data untuk di eksekusi, salah satunya adalah Remote file inclusion (RFI).
A4 - Insecure Direct Object Reference
Adalah suatu celah yang terjadi saat pembuat aplikasi web merekspos referensi internal penggunaan objek, seperti file, direktori, database record, dll
A5 - Cross Site Request Forgery (CSRF)
Celah ini akan memaksa browser target yang sudah log-in untuk mengirimkan "pre-authenticated request"terhadap aplikasi web yang diketahui memiliki celah, dan memaksa browser target untuk melakukan hal yang menguntungkan penyerang.
A6 - Information Leakage and Improper Error Handling
Penyerang menggunakan informasi yang didapatkan dari celah yang di akibatkan oleh informasi yang diberikan oleh web aplikasi seperti pesan kesalahan (error) serta konfigurasi yang bisa di lihat.
A7 - Broken Authentication and Session Management
Celah ini merupakan akibat buruknya penanganan proses otentikasi dan manajemen sesi, sehingga penyerang bisa mendapatkan password, atau key yang di gunakan untuk otentikasi.
A8 - Insecure Cryptographic Storage
Aplikasi web umumnya jarang menggunakan fungsi kriptografi untuk melindungi data penting yang dimiliki, atau menggunakan fungsi kriptografi yang di ketahui memiliki kelemahan.
A9 - Insecure Communications
Sedikit sekali aplikasi web yang mengamankan jalur komunikasinya, hal inilah yang dimanfaatkan oleh penyerang sebagai celah untuk mendapatkan informasi berharga.
A10 - Failure to Restrict URL Access
Seringkali, aplikasi web hanya menghilangkan tampilan link (URL) dari pengguna yang tidak berhak, tetapi hal ini dengan sangat mudah dilewati dengan mengakses URL tersebut secara langsung.
Untuk lebih lengkapnya dalam me-review aplikasi web anda, anda dapat membaca langsung dari situs resmi OWASP.
Weeewww... elo tau ga sih kalo sebagian besar kelemahan di website di ada 10 kelemahan, kelemahan2an ini sangat berbahaya. Berbahaya gimana..??? uupppss yang pasti bisa2 sumber daya yang ada di situs kita diambil oleh orang lain.
Ada 10 kelemahan yang musti elo tau... mau tau kan...??? karena kalo elo udah tau berarti minimal elo bisa menurunkan kadar impotensi dari kelemahan yang ada.
Nah, lirva mo bagi2 10 kelemahan tersebut, diantaranya :
1. Unvalidated parameters
Nah, ini kesalahan dalam penggunaan parameter, makanya jangan terlalu mudah dan ngegampangin penggunaan parameter sehingga attacker bisa dengan mudah menggonta-ganti parameter URL untuk mengakses data.
Contoh : melakukan penukaran paramter seperti : “admin=no” menjadi“admin=yes” yang memberikan attacker mendapatkan Admin privileges.
2. Broken access control
Nah, yang gue tau dalam hal ini akses kontrol terhadap user 'ga jalan alias ga dicek, kalau kondisinya seperti ini berarti si attacke ,mendapat mandat untuk mempergunakan cache dan siapapun bisa mempergunakan mandat tersebut
3. Broken account and session management
Nah, yang ini juga berbahaya karena Attacker dapat memprediksi validasi skema.
Contoh : penghaspusan cookies, Disable JavaScript,Session yg terus menerus active.
4. Cross-site scripting
Uuuppssss... Attacker meracuni Web page dengan browsernya. XSS merupakan pilihan yang menarik bagi para newbie yang tidak mempunyai shell dan sploit ,karena untuk melakukan xss hanya di butuhkan sebuah browser. Ingat XSS adalah hanya memasukan script kedalam url site target . Ada perbedaan antara XSS dengan
Script injetion . Xss hasilnya hanya bisa diliat secara temporary beda dengan script injection yang full merubahnya sama seperti kita mendapatkan root dan merubah halaman indexnya.
5. Buffer overflows
Suatu teknik yang digunakan oleh Attacker untuk memberikan packet data yang besar sekali kepada target sehingga target menjadi kewalan dan mengalami crash. Bisa dikatakan juga bahwa Buffer overflow merupakan error dalam memori peranti lunak yang membuka peluang kepada 'attacker' untuk menjalankan program yang dapat menggangu sistem.
6. Command injection flaws
Suatu teknik yang digunakan oleh Attacker untuk perintah2 tertentu didalam aplikasi web. Biasanya Attacker mecoba dengan metode : HTML Injection, SQL Injection dan command2 ijection lainnya.
7. Error-handling problems
Uuuuppsss... hati2 loh dengan 'error message'.. jangan diremehkan.. banyak sekali attacker masuk kedalam sistem kita karena 'error message'. Kok bisa ya...?? bisalah... karena 'erroe messages' memberikan informasi yang berguna.
contoh : “ODBC Error”... kalo error messagenya seperti itu menandakan kalo itu memiliki kelemahan yang pasti yaitu SQL injection.
8. Insecure use of cryptography
Penggunaan kriptography yang asal2an.... kalo yang model gini gue sendiri kagak ngarti.. ga pernah belajar kriptography
9. Remote administration flaws
Hati2 dung... dengan SSH, RSH.. atau apapun yang sifatnya remote... karena Attacker bisa memprediksi port2 dan mecoba menggainning dengan default konfigurasinya.
10. Web and application server misconfiguration
Kesalahan salam mengkonfigurasikan server, membiarkan port yang tidak dipergunakan tetap terbuka yang membuat server memili vulnurable.
Postingan
