Number of 666

October 30, 2010

10 Celah Keamanan Web Anda

Filed under: Blog, Website — Tags: , , — adiprayit @ 9:35 am

Saya akan memberikan 10 Celah Keamanan web Anda

Keamanan Web seharusnya merupakan prioritas no.1 yang harus selalu dipertimbangkan oleh seorang web administrator dan web developer, tetapi umumnya para pembuat web akan memprioritaskan bagaimana membuat web yang menarik bagi pengunjung dan menempatkan keamanan web di urutan ke-sekian. Padahal, umumnya aplikasi web adalah penghubung terdepan antara user ataupun attacker, sekaligus sebagai pintu masuk ke seluruh data yang relatif penting milik perusahaan anda.

(Read More...)
Para pembuat/penyedia web umumnya mengkategorikan keamanan web sebagai suatu hal yang hanya perlu dipikirkan setelah web itu dibuat dan siap digunakan oleh pengguna. Banyak ahli keamanan web bahkan menyatakan bahwa, umumnya keseluruhan website yang ada di internet rentan untuk dikuasai oleh penyerang, dan celah tersebut umumnya relatif gampang ditemukan bahkan untuk dieksploitasi.

Saat ini suatu organisasi non-profit Open Web Application Security Project (OWASP) telah merilis satu buah daftar berisi 10 celah teratas yang dapat mengancam website anda. Daftar yang dibuat ini telah berkembang, teknologi web (2.0) baru seperti AJAX dan RIA (Rich Internet Application) yang membuat tampilan website semakin menarik dan mengakibatkan timbul berbagai jenis celah baru pun telah diikutkan.
Berikut adalah daftar yang dikeluarkan oleh OWASP :

1. Cross Site Scripting (XSS)

Celah XSS, adalah saat pengguna web aplikasi dapat memasukkan data dan mengirimkan ke web browser tanpa harus melakukan validasi dan encoding terhadap isi data tersebut, Celah XSS mengakibatkan penyerang dapat menjalankan potongan kode (script) miliknya di browser target, dan memungkinkan untuk mencuri user session milik target, bahkan sampai menciptakan Worm.

2. Injection Flaws

Celah Injeksi, umumnya injeksi terhadap SQL (database) dari suatu aplikasi web. Hal ini mungkin terjadi apabila pengguna memasukkan data sebagai bagian dari perintah (query) yang menipu interpreter untuk menjalankan perintah tersebut atau merubah suatu data.

3. Malicious File Execution

Celah ini mengakibatkan penyerang dapat secara remote membuat file yang berisi kode dan data untuk dieksekusi, salah satunya adalah Remote file inclusion (RFI).

4. Insecure Direct Object Reference

Adalah suatu celah yang terjadi saat pembuat aplikasi web merekspos referensi internal penggunaan objek, seperti file, direktori, database record, dll

5. Cross Site Request Forgery (CSRF)

Celah ini akan memaksa browser target yang sudah log-in untuk mengirimkan “pre-authenticated request”terhadap aplikasi web yang diketahui memiliki celah, dan memaksa browser target untuk melakukan hal yang menguntungkan penyerang.

6. Information Leakage and Improper Error Handling

Penyerang menggunakan informasi yang didapatkan dari celah yang diakibatkan oleh informasi yang diberikan oleh web aplikasi seperti pesan kesalahan (error) serta konfigurasi yang bisa dilihat.

7. Broken Authentication and Session Management

Celah ini merupakan akibat buruknya penanganan proses otentikasi dan manajemen sesi, sehingga penyerang bisa mendapatkan password, atau key yang digunakan untuk otentikasi.

8. Insecure Cryptographic Storage

Aplikasi web umumnya jarang menggunakan fungsi kriptografi untuk melindungi data penting yang dimiliki, atau menggunakan fungsi kriptografi yang diketahui memiliki kelemahan.

9. Insecure Communications

Sedikit sekali aplikasi web yang mengamankan jalur komunikasinya, hal inilah yang dimanfaatkan oleh penyerang sebagai celah untuk mendapatkan informasi berharga.

10. Failure to Restrict URL Access

Seringkali, aplikasi web hanya menghilangkan tampilan link (URL) dari pengguna yang tidak berhak, tetapi hal ini dengan sangat mudah dilewati dengan mengakses URL tersebut secara langsung.

Untuk lebih lengkapnya dalam me-review aplikasi web anda, anda dapat membaca langsung dari situs resmi OWASP.

Leave a Comment »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Blog at WordPress.com.

%d bloggers like this: