Keamanan Web seharusnya merupakan prioritas no.1 yang harus selalu di
pertimbangkan oleh seorang web administrator dan web developer, tetapi umumnya
para pembuat web akan memprioritaskan bagaimana membuat web yang menarik
bagi pengunjung dan menempatkan keamanan web di urutan ke-sekian. Padahal,
umumnya aplikasi web adalah penghubung terdepan antara user ataupun attacker,
sekaligus sebagai pintu masuk ke seluruh data yang relatif penting milik perusahaan
anda.
Para pembuat/penyedia web umumnya mengkategorikan keamanan web sebagai
suatu hal yang hanya perlu di pikirkan setelah web itu di buat dan siap di gunakan
oleh pengguna. Banyak ahli keamanan web bahkan menyatakan bahwa, umumnya
keseluruhan website yang ada di internet rentan untuk di kuasai oleh penyerang,
dan celah tersebut umumnya relatif gampang ditemukan bahkan untuk di
eksploitasi.
Ditahun 2007 ini suatu organisasi non-profit Open Web Application Security Project
(OWASP) telah merilis satu buah daftar berisi 10 celah teratas yang dapat
mengancam website anda, daftar ini pertama kali di rilis di tahun 2004. Daftar yang
dibuat di tahun 2007 ini telah sangat berkembang, teknologi web (2.0) baru seperti
AJAX dan RIA (Rich internet Application) yang membuat tampilan website semakin
menarik dan mengakibatkan timbul berbagai jenis celah baru pun telah di ikutkan.
Berikut adalah daftar yang di keluarkan oleh OWASP dalam “Top 10 2007″ :
A1 – Cross Site Scripting (XSS)
Celah XSS, adalah saat pengguna web aplikasi dapat memasukkan data dan
mengirimkan ke web browser tanpa harus melakukan validasi dan encoding terhadap
isi data tersebut, Celah XSS mengakibatkan penyerang dapat menjalankan potongan
kode (script) miliknya di browser target, dan memungkinkan untuk mencuri user
session milik target, bahkan sampai menciptakan Worm.
A2 – Injection Flaws
Celah Injeksi, umumnya injeksi terhadap SQL (database) dari suatu aplikasi web. Hal
ini mungkin terjadi apabila pengguna memasukkan data sebagai bagian dari perintah
(query) yang menipu interpreter untuk menjalankan perintah tersebut atau merubah
suatu data.
A3 – Malicious File Execution
Celah ini mengakibatkan penyerang dapat secara remote membuat file yang berisi
kode dan data untuk di eksekusi, salah satunya adalah Remote file inclusion (RFI).
A4 – Insecure Direct Object Reference
Adalah suatu celah yang terjadi saat pembuat aplikasi web merekspos referensi
internal penggunaan objek, seperti file, direktori, database record, dll
A5 – Cross Site Request Forgery (CSRF)
Celah ini akan memaksa browser target yang sudah log-in untuk mengirimkan “preauthenticated
request”terhadap aplikasi web yang diketahui memiliki celah, dan
memaksa browser target untuk melakukan hal yang menguntungkan penyerang.
A6 – Information Leakage and Improper Error Handling
Penyerang menggunakan informasi yang didapatkan dari celah yang di akibatkan
oleh informasi yang diberikan oleh web aplikasi seperti pesan kesalahan (error) serta
konfigurasi yang bisa di lihat.
A7 – Broken Authentication and Session Management
Celah ini merupakan akibat buruknya penanganan proses otentikasi dan manajemen
sesi, sehingga penyerang bisa mendapatkan password, atau key yang di gunakan
untuk otentikasi.
A8 – Insecure Cryptographic Storage
Aplikasi web umumnya jarang menggunakan fungsi kriptografi untuk melindungi
data penting yang dimiliki, atau menggunakan fungsi kriptografi yang di ketahui
memiliki kelemahan.
A9 – Insecure Communications
Sedikit sekali aplikasi web yang mengamankan jalur komunikasinya, hal inilah yang
dimanfaatkan oleh penyerang sebagai celah untuk mendapatkan informasi berharga.
A10 – Failure to Restrict URL Access
Seringkali, aplikasi web hanya menghilangkan tampilan link (URL) dari pengguna
yang tidak berhak, tetapi hal ini dengan sangat mudah dilewati dengan mengakses
URL tersebut secara langsung.
Untuk lebih lengkapnya dalam me-review aplikasi web anda, anda dapat membaca
langsung dari situs resmi OWASP.
