OWASP Top 10 Risiko Keamanan | Ringkesan
Bab lan Paragraf
Apa OWASP?
OWASP minangka organisasi nirlaba khusus kanggo pendidikan keamanan aplikasi web.
Materi pembelajaran OWASP bisa diakses ing situs web. Piranti kasebut migunani kanggo ningkatake keamanan aplikasi web. Iki kalebu dokumen, alat, video, lan forum.
OWASP Top 10 minangka dhaptar sing nyoroti masalah keamanan paling dhuwur kanggo aplikasi web saiki. Dheweke menehi saran supaya kabeh perusahaan nyakup laporan iki ing proses kanggo nyuda risiko keamanan. Ing ngisor iki dhaptar risiko keamanan sing kalebu ing laporan OWASP Top 10 2017.
SQL Injection
Injeksi SQL dumadi nalika panyerang ngirim data sing ora cocog menyang aplikasi web kanggo ngganggu program ing aplikasi kasebut.
Tuladha SQL Injection:
Penyerang bisa ngetik query SQL menyang formulir input sing mbutuhake plainteks jeneng panganggo. Yen formulir input ora diamanake, bakal nyebabake eksekusi query SQL. Iki diarani minangka injeksi SQL.
Kanggo nglindhungi aplikasi web saka injeksi kode, priksa manawa pangembang sampeyan nggunakake validasi input ing data sing dikirim pangguna. Validasi ing kene nuduhake penolakan input sing ora bener. A manager database uga bisa nyetel kontrol kanggo ngurangi jumlah Alexa sing bisa dibeberke ing serangan injeksi.
Kanggo nyegah injeksi SQL, OWASP nyaranake supaya data tetep kapisah saka printah lan pitakon. Pilihan sing luwih apik yaiku nggunakake aman API kanggo nyegah panggunaan interpreter, utawa pindhah menyang Object Relational Mapping Tools (ORMs).
Authentication Broken
Kerentanan otentikasi bisa ngidini panyerang ngakses akun pangguna lan kompromi sistem nggunakake akun admin.. A cybercriminal bisa nggunakake script kanggo nyoba ewu kombinasi sandi ing sistem kanggo ndeleng kang bisa. Sawise cybercriminal mlebu, dheweke bisa ngapusi identitas pangguna, menehi akses menyang informasi rahasia.
Kerentanan otentikasi sing rusak ana ing aplikasi web sing ngidini login otomatis. Cara populer kanggo mbenerake kerentanan otentikasi yaiku nggunakake otentikasi multifaktor. Uga, watesan tingkat login bisa kalebu ing aplikasi web kanggo nyegah serangan brute force.
Paparan Data Sensitif
Yen aplikasi web ora nglindhungi panyerang sensitif bisa ngakses lan nggunakake aplikasi kasebut kanggo entuk keuntungan. Serangan on-path minangka cara populer kanggo nyolong informasi sensitif. Risiko paparan bisa minimal nalika kabeh data sensitif dienkripsi. Pangembang web kudu mesthekake yen ora ana data sensitif sing katon ing browser utawa disimpen kanthi ora perlu.
Entitas Eksternal XML (XEE)
Penjahat cyber bisa uga bisa ngunggah utawa nyakup konten, perintah, utawa kode XML sing ala ing dokumen XML. Iki ngidini dheweke ndeleng file ing sistem file server aplikasi. Sawise entuk akses, dheweke bisa sesambungan karo server kanggo nindakake serangan pemalsuan panyuwunan sisih server (SSRF)..
Serangan entitas eksternal XML bisa dicegah dening ngidini aplikasi web nampa jinis data sing kurang rumit kayata JSON. Mateni pangolahan entitas eksternal XML uga nyuda kemungkinan serangan XEE.
Kontrol Akses Rusak
Kontrol akses minangka protokol sistem sing mbatesi pangguna sing ora sah kanggo informasi sensitif. Yen sistem kontrol akses rusak, panyerang bisa ngliwati otentikasi. Iki menehi akses menyang informasi sensitif kaya-kaya duwe wewenang. Kontrol Akses bisa diamanake kanthi ngetrapake token wewenang ing login pangguna. Ing saben panyuwunan pangguna nalika diotentikasi, token wewenang karo pangguna diverifikasi, menehi tandha manawa pangguna duwe wewenang kanggo nggawe panjaluk kasebut.
Salah Konfigurasi Keamanan
Salah konfigurasi keamanan minangka masalah umum sing cybersecurity spesialis mirsani ing aplikasi web. Iki kedadeyan amarga header HTTP sing salah konfigurasi, kontrol akses sing rusak, lan tampilan kesalahan sing mbukak info ing aplikasi web.. Sampeyan bisa mbenerake Misconfiguration Keamanan kanthi mbusak fitur sing ora digunakake. Sampeyan uga kudu nambal utawa nganyarke paket piranti lunak.
Skrip Cross-Site (XSS)
Kerentanan XSS dumadi nalika panyerang ngapusi DOM API saka situs web sing dipercaya kanggo nglakokake kode ala ing browser pangguna.. Eksekusi kode ala iki asring kedadeyan nalika pangguna ngeklik link sing katon saka situs web sing dipercaya. Yen situs web ora dilindhungi saka kerentanan XSS, bisa uga dadi kompromi. Kode angkoro sing dileksanakake menehi akses penyerang menyang sesi login pangguna, rincian kertu kredit, lan data sensitif liyane.
Kanggo nyegah Cross-site Scripting (XSS), priksa manawa HTML sampeyan wis diresiki kanthi apik. Iki bisa digayuh dening milih kerangka kerja sing dipercaya gumantung saka basa sing dipilih. Sampeyan bisa nggunakake basa kaya .Net, Ruby on Rails, lan React JS amarga bakal mbantu ngurai lan ngresiki kode HTML sampeyan. Nambani kabeh data saka pangguna sing ora bisa dipercaya utawa ora bisa dipercaya bisa nyuda risiko serangan XSS.
Deserialisasi sing ora aman
Deserialisasi yaiku transformasi data serial saka server menyang obyek. Deserialisasi data minangka kedadeyan umum ing pangembangan piranti lunak. Iku ora aman nalika data wis deserialized saka sumber sing ora dipercaya. Iki bisa duweni potensi mbabarake aplikasi sampeyan kanggo serangan. Deserialisasi sing ora aman dumadi nalika data deserialized saka sumber sing ora dipercaya nyebabake serangan DDOS, serangan eksekusi kode remot, utawa otentikasi bypass.
Kanggo ngindhari deseralisasi sing ora aman, aturan jempol yaiku aja ngandelake data pangguna. Saben data input pangguna kudu dirawat as duweni potensi angkoro. Ngindhari deseralisasi data saka sumber sing ora dipercaya. Mesthekake yen fungsi deserialization kanggo digunakake ing aplikasi web sampeyan aman.
Nggunakake Komponen Kanthi Kerentanan Dikenal
Pustaka lan Kerangka wis nggawe luwih cepet ngembangake aplikasi web tanpa perlu reinvent setir. Iki nyuda redundansi ing evaluasi kode. Dheweke mbukak dalan kanggo pangembang kanggo fokus ing aspek aplikasi sing luwih penting. Yen panyerang nemokake eksploitasi ing kerangka kerja kasebut, saben basis kode sing nggunakake kerangka kerja kasebut dadi kompromi.
Pangembang komponen asring nawakake patch keamanan lan nganyari kanggo perpustakaan komponen. Kanggo ngindhari kerentanan komponen, sampeyan kudu sinau supaya aplikasi tetep anyar karo patch keamanan lan upgrade paling anyar.. Komponen sing ora digunakake kudu dicopot saka aplikasi kanggo ngethok vektor serangan.
Logging lan Ngawasi Ora Cekap
Log lan ngawasi penting kanggo nuduhake aktivitas ing aplikasi web sampeyan. Logging nggampangake nglacak kesalahan, monitor login pangguna, lan aktivitas.
Log lan ngawasi ora cukup nalika acara kritis keamanan ora dicathet bener. Panyerang nggunakake iki kanggo nindakake serangan ing aplikasi sampeyan sadurunge ana respon sing katon.
Logging bisa mbantu perusahaan sampeyan ngirit dhuwit lan wektu amarga pangembang sampeyan bisa gampang golek kewan omo. Iki ngidini dheweke luwih fokus kanggo ngrampungake kewan omo tinimbang nggoleki. Akibaté, logging bisa mbantu supaya situs lan server sampeyan tetep aktif lan mlaku saben wektu tanpa ngalami downtime.
kesimpulan
Kode apik ora mung babagan fungsi, yaiku supaya pangguna lan aplikasi sampeyan aman. OWASP Top 10 minangka dhaptar risiko keamanan aplikasi sing paling kritis minangka sumber gratis sing apik kanggo pangembang kanggo nulis aplikasi web lan seluler sing aman. Pelatihan pangembang ing tim sampeyan kanggo netepake lan nyathet risiko bisa ngirit wektu lan dhuwit tim ing jangka panjang. Yen sampeyan pengin Sinau luwih lengkap babagan cara nglatih tim sampeyan ing OWASP Top 10 klik ing kene.
