Mengenal OWASP: Standar Keamanan Website Dunia
Keamanan adalah faktor penting yang harus diperhatikan saat Anda membuat sebuah situs di internet. Hal tersebut karena pada sebuah website banyak menyimpan berbagai data penting. Jadi untuk mengatasi hal tersebut Anda perlu menggunakan standar keamanan website, organisasi terbesar berkelas Internasional yaitu ada OWASP. Owasp adalah singkatan dari Open Web Application Security Project yang lebih lanjut akan dibahas pada artikel di bawah ini.
Pengertian OWASP Dan Beberapa Daftar Dokumennya
Apa itu OWASP? Kebanyakan dari Anda mungkin bertanya-tanya tentang istilah yang satu ini. Tidak hanya orang awam saja yang tidak mengetahuinya, beberapa dari Anda pengguna website mungkin juga ada yang tidak mengetahui istilah ini karena tidak memperhatikan pembuatan website dari segi keamanannya.
Owasp adalah organisasi nirlaba yang berada di bidang keamanan khususnya keamanan web app. OWASP ini banyak sekali menawarkan berbagai sumber daya yang sangat membantu Anda untuk mempelajari lebih lanjut tentang keamanan web app. Prinsip dari owasp adalah memastikan segala informasi ataupun materi pembelajaran bisa diakses dengan mudah serta gratis jadi semua orang bisa meningkatkan keamanan situsnya.
Berbagai materi yang ditawarkan berupa tools, dokumentasi, video serta forum. Sejarahnya, Owasp adalah organisasi yang didirikan oleh Mack Curphey pada tanggal 9 September 2001. Sudah lebih dari dua puluh tahun lamanya OWASP berdiri, anggotanya juga sudah terdiri dari puluhan ribu yang tersebar di seluruh penjuru.
Menariknya organisasi ini juga sering mengadakan berbagai konferensi serta pelatihan keamanan teruntuk para anggota maupun kalangan umum.
Dokumen-dokumen OWASP
Sampai saat ini OWASP telah mengeluarkan beberapa dokumen yang dapat dijadikan sebagai pedoman keamanan. Jadi untuk bisa mempelajari keamanan web app Anda perlu memperkaya pengetahuan dengan mengetahui dokumen OWASP, apa saja itu simak di bawah ini.
– OWASP Developer Guide
Dokumen pertama yang harus dipahami oleh para developer yaitu OWASP Developer Guide. Dokumen yang satu ini sangat cocok dibaca pertama kali bagi developer newbie yang baru memulai dalam membangun website dan aplikasi. Perlu diketahui bahwa dokumen ini sudah direvisi pada tahun 2014, hasil revisi ini kemudian dijadikan sebagai rujukan standar keamanan website.
Jadi untuk mencari petunjuk supaya web dan app Anda aman Anda tidak perlu meragukannya lagi karena dokumen ini sudah sesuai dengan keadaan yang sering dihadapi saat ini. Para developer bisa langsung mengikuti petunjuk yang ada tanpa harus melakukan modifikasi.
– OWASP ASVS
Dokumen selanjutnya yaitu ASVS singkatan dari Application Security Verification Standard merupakan standarisasi keamanan dunia yang ditujukan khusus untuk aplikasi dan web dan dapat digunakan oleh pelanggan, organisasi ataupun para vendor. Menariknya pada ASVS ini OWASP membagi dokumennya menjadi tiga level yang berbeda yaitu Opportunistic level, standar level, advanced level.
Opportunistic level berisi tentang kebutuhan software secara umum, standar level berisi tentang kebutuhan aplikasi dengan menggunakan data sensitif sedangkan advanced level diperuntukkan untuk kebutuhan aplikasi yang penting dan juga kompleks.
– Security Knowledge Framework
Dokumen yang ketiga khusus dibangun OWASP untuk memudahkan para developer dalam melakukan implementasi pada keamanan aplikasi dan web yang menggunakan ASVS. Jadi dokumen ketiga ini saling berhubungan juga dengan dokumen yang kedua.
– Developer Cheat Sheet Series
Jika dilihat mungkin dokumen yang keempat ini sedikit berbeda dengan dokumen yang lain pasalnya developer cheat sheet series ini adalah cheat sheet yang berbentuk sebuah poin-poin yang harus dijawab developer.
Semua poin ini berisi pertanyaan yang telah dikonsultasikan secara langsung pada pakar keamanan situs yang ada di seluruh dunia. Dalam pengecekannya, dokumen yang satu ini sangatlah mudah Anda tinggal memilih jawaban yang diperlukan lalu melihat hasilnya sudah bagus ataukah perlu direvisi kembali.
– OWASP Top 10
Dokumen yang terakhir yaitu dokumen OWASP terpopuler dan paling banyak dipakai juga pada masa kini sebagai standar keamanan website, Anda mungkin bertanya-tanya bagaimana cara menggunakan OWASP?
Penggunaan OWASP Top 10 dapat dijadikan sebagai standar pada pengkodean maupun pengujian dengan mengetahui batas minimal dan langkah awal yang harus dilakukan. Untuk penjelasan lebih lanjut tentang OWASP Top 10 akan dibahas di penjelasan di bawah ini.
Broken Access Control
Standar keamanan pertama owasp adalah sebuah fungsi yang bisa memberikan akses kontrol terbatas yang bisa melindungi web Anda. Sebuah web pasti akan melakukan verifikasi fungsi namun sebelum itu perlu dibuat interface. Namun jika permintaan yang dibuat tidak menggunakan verifikasi, para hacker rentan sekali bisa mengakses fungsi dengan sangat mudah oleh karena itu pastikan fungsinya dilakukan verifikasi terlebih dahulu.
Cryptographic Failures
Kegagalan kriptografi adalah kerentanan pada keamanan aplikasi kripto tentang data-data sensitif. Contoh dari data sensitif yaitu kata sandi, alamat email atau nomor handphone.
Injection
Injection dapat terjadi jika memanfaatkan formulir input, jadi hacker bisa memasukkan kode database melalui formulir inputan supaya dapat dieksekusi. Oleh karena itu Anda perlu melakukan validasi data supaya tidak terjadi injection data.
Insecure Design
Insecure design menjadi kategori baru yang ada pada OWASP Top 10, desain yang tidak aman ternyata bisa menjadi sumber resiko dari ancaman keamanan. Oleh karena itu penulisan script seharusnya dibuat tidak sesuai standar agar tidak meninggalkan celah dan dieksploitasi hacker.
Security Misconfiguration
Kesalahan konfigurasi menjadi ranking nomor lima yang paling banyak ditemukan di aplikasi maupun web. Disarankan untuk tidak melakukan setting secara default dan lebih baik untuk melakukan setting sesuai kebutuhan.
Vulnerable and Outdated Components
Komponen yang sudah kadaluwarsa dapat menjadi ancaman selanjutnya yang harus diperhatikan. Contohnya ketika aplikasi meminta untuk diupdate, solusinya segera lakukan pembaruan tersebut.
Identifications and Authentication Failures
Kegagalan identifikasi dan juga otentikasi dapat terjadi karena kurangnya aplikasi keamanan yang baik. Hal ini juga bisa disebabkan lemahnya algoritma hashing hingga akhirnya password menjadi terekspos.
Software and Data Integrity Failures
Ancaman baru OWASP Top 10 selanjutnya yaitu sofware and data integrity, kompleksitas dari pengembangan web terkadang memaksa pengembang untuk menggunakan plugin. Namun kegagalan dapat terjadi karena proses dari integrasi yang kurang teliti.
Security Logging and Monitoring Failures
Kegagalan untuk memantau juga menjadi celah selanjutnya yang dilakukan hacker untuk mengeksploitasi situs app Anda. Jika dibiarkan terjadi tentu web Anda akan rentan dan semakin tereksploitasi. Jadi berbagai peristiwa keamanan sebaiknya perlu dicatat dan dipantau.
Server Side Request Forgery
Terakhir, SSRF digunakan hacker dalam melakukan request ilegal, request ini dapat dilakukan pada external web ataupun internal web. Beberapa tindakan berbahaya yang perlu diperhatikan pada request ini yaitu adanya pemalsuan, port scanning dan lainnya.
Kesimpulannya OWASP adalah organisasi yang memiliki dokumen standarisasi keamanan. Bagaimana apakah Anda sudah paham, jika masih ada pertanyaan maka bisa mengikuti kursus yang ada pada Coding Studio. Dengan tutor taraf internasional, Anda akan dibimbing untuk mendalami materi IT yang Anda mau! Yuk bangun karir di dunia IT Anda dengan Coding Studio.
