Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

TnewsTnews
Fundamentals

Mengenal OWASP top 10 dan tips mitigasi

By - Fuad February 2, 2024 Comments (0) 4 Mins Read
Mengenal OWASP top 10 dan tips mitigasi
2

OWASP Top 10 adalah laporan yang diperbarui secara berkala, berisi daftar 10 risiko paling kritis dalam keamanan aplikasi web. Laporan ini disusun oleh tim ahli keamanan dari seluruh dunia dan berfungsi sebagai dokumen kesadaran (awareness document) untuk meningkatkan pemahaman tentang ancaman keamanan siber. OWASP merekomendasikan semua perusahaan dan pengembang untuk mengintegrasikan laporan ini ke dalam proses pengembangan mereka guna mengurangi dan memitigasi risiko keamanan.

Berikut penjelasan komprehensif mengenai OWASP Top 10:

1. Injection

Serangan injection terjadi ketika data yang tidak dipercaya dikirimkan ke interpreter kode, seperti SQL, melalui formulir input atau pengiriman data lainnya. Misalnya, jika seorang penyerang memasukkan perintah SQL ke dalam kolom input yang seharusnya menerima nama pengguna, dan aplikasi tidak melakukan validasi dengan benar, perintah tersebut dapat dijalankan (SQL Injection).

Cara Mitigasi:

  • Validasi dan sanitasi input pengguna.
  • Gunakan parameterized queries atau prepared statements untuk database.
  • Batasi hak akses database untuk mengurangi dampak serangan.

2. Broken Authentication

Kerentanan dalam sistem autentikasi (login) memungkinkan penyerang mendapatkan akses tidak sah ke akun pengguna, bahkan mengkompromikan seluruh sistem melalui akun administrator. Misalnya, brute force attack dapat mencoba ribuan kombinasi nama pengguna dan kata sandi menggunakan daftar data curian.

Cara Mitigasi:

  • Gunakan autentikasi dua faktor (2FA).
  • Batasi percobaan login dengan rate limiting atau delay.

3. Sensitive Data Exposure

Jika aplikasi web tidak melindungi data sensitif (seperti informasi finansial dan kata sandi), penyerang dapat mencurinya untuk dijual atau disalahgunakan. Salah satu metode serangan adalah on-path attack (dulu disebut man-in-the-middle attack).

Cara Mitigasi:

  • Enkripsi data sensitif selama transit dan penyimpanan.
  • Nonaktifkan caching untuk data sensitif di browser.
  • Minimalkan penyimpanan data sensitif.

4. XML External Entities (XEE)

XEE terjadi ketika aplikasi web memproses input XML yang mengacu ke entitas eksternal, seperti file di hard drive. Penyerang dapat mengeksploitasi parser XML untuk mendapatkan data sensitif.

Cara Mitigasi:

  • Gunakan format data yang lebih aman seperti JSON.
  • Patch parser XML dan nonaktifkan entitas eksternal.

5. Broken Access Control

Kerentanan ini terjadi saat kontrol akses tidak diterapkan dengan benar, sehingga pengguna biasa dapat bertindak sebagai pengguna dengan hak istimewa. Contohnya, pengguna bisa mengganti URL untuk mengakses data akun lain tanpa otorisasi.

Cara Mitigasi:

  • Terapkan token otorisasi dan periksa token pada setiap permintaan.
  • Pastikan kontrol akses diterapkan secara ketat di seluruh aplikasi.

6. Security Misconfiguration

Kesalahan konfigurasi keamanan adalah kerentanan paling umum. Misalnya, aplikasi yang menggunakan konfigurasi default atau menampilkan pesan kesalahan yang terlalu detail dapat membuka celah bagi penyerang.

Cara Mitigasi:

  • Hapus fitur yang tidak digunakan dan perbarui konfigurasi keamanan.
  • Gunakan pesan kesalahan yang umum dan tidak terlalu deskriptif.

7. Cross-Site Scripting (XSS)

XSS terjadi ketika aplikasi memungkinkan pengguna memasukkan kode berbahaya, seperti JavaScript, yang kemudian dijalankan di browser pengguna lain. Misalnya, penyerang dapat mengirim email dengan tautan berisi kode berbahaya yang dijalankan saat diklik korban.

Cara Mitigasi:

  • Escape input dari pengguna dan validasi konten yang dihasilkan.
  • Gunakan framework seperti ReactJS untuk perlindungan bawaan terhadap XSS.

8. Insecure Deserialization

Serangan ini menargetkan aplikasi yang sering melakukan serialisasi dan deserialisasi data. Jika data dari sumber yang tidak dipercaya di-deserialize tanpa validasi, penyerang dapat menjalankan perintah berbahaya atau memicu serangan DDoS.

Cara Mitigasi:

  • Hindari deserialisasi data dari sumber yang tidak dipercaya.
  • Monitor proses deserialisasi dan gunakan validasi tipe data.

9. Using Components With Known Vulnerabilities

Pengembang sering menggunakan pustaka atau framework yang memiliki kerentanan yang diketahui. Penyerang dapat memanfaatkan kerentanan ini untuk melakukan serangan.

Cara Mitigasi:

  • Hapus komponen yang tidak digunakan dan perbarui pustaka secara berkala.
  • Gunakan alat seperti OWASP Dependency-Check untuk mendeteksi kerentanan.

10. Insufficient Logging and Monitoring

Banyak aplikasi tidak memiliki logging dan monitoring yang memadai untuk mendeteksi pelanggaran data. Penemuan rata-rata pelanggaran bisa memakan waktu hingga 200 hari, memberikan penyerang banyak waktu untuk melakukan kerusakan.

Cara Mitigasi:

  • Implementasikan logging dan monitoring untuk mendeteksi serangan lebih awal.
  • Rencanakan respons insiden untuk menangani serangan dengan cepat.

Kesimpulan

OWASP Top 10 berfungsi sebagai pedoman penting bagi perusahaan dan pengembang untuk memahami dan memitigasi risiko keamanan aplikasi web. Dengan mengintegrasikan praktik-praktik terbaik dari OWASP Top 10, seperti enkripsi data, kontrol akses yang ketat, dan monitoring yang tepat, aplikasi dapat menjadi lebih aman dan terlindungi dari ancaman siber.

 

Comments are closed

Related Posts

Anatomi Kegagalan OTP: Mengapa Account Takeover (ATO) Tetap Merajalela di Tahun 2026?Application Security

Anatomi Kegagalan OTP: Mengapa Account Takeover

BY-Fuad February 16, 2026
Ekosistem Keamanan Siber dan Tantangan Menuju 2030Application Security

Ekosistem Keamanan Siber dan Tantangan Menuju

BY-Fuad February 10, 2026
OPERASI CARACAS: ANATOMI PERANG MODERN DAN PELAJARAN KEDAULATAN DIGITAL UNTUK INDONESIACyber War

OPERASI CARACAS: ANATOMI PERANG MODERN DAN

BY-Fuad January 6, 2026
OPERASI 300 MENIT: BEDAH TEKNIS PENCULIKAN PRESIDEN VENEZUELACase Studies

OPERASI 300 MENIT: BEDAH TEKNIS PENCULIKAN

BY-Fuad January 6, 2026
Membedah Infrastruktur LockBit 5.0 yang Terekspos Akibat Kelalaian OPSECCase Studies

Membedah Infrastruktur LockBit 5.0 yang Terekspos

BY-Fuad December 10, 2025
AI Menambal Kode, Siapa Menambal Krisis Talenta Siber Indonesia?Application Security

AI Menambal Kode, Siapa Menambal Krisis

BY-Fuad October 20, 2025