1.Unvalidated input
2. Broken aacces control
3. Broken authentication
dan session management
4. Cross site scripting
5. Buffer overflow
6. Injection flaw
7. Insecure storage
8. Penolakan layanan
9. Failure to restrict
URL Access
10. Insecure
configuration management
1. Unvalidated input
Ada 2 hal yang dapat dicatat ketika menangani validasi pada aplikasi kita yaitu:
a. Mempercayai client side
scripting merupakan hal yang sebaiknya dihindari pada aplikasi web.
b. Beberapa aplikasi menggunakan pendekatan negatif pada aplikasinya, jenis pendekatan ini hanya bisa melindungi aplikasi dari beberapa serangan saja.
2. Broken
access control
Masalah yang berhubungan dengan control access adalah sebagai berikut:
a. Insecure Ids
b. File Permission
3. Broken
authentication dan session management Beberapa hal yang perludiperhatikan diantaranya,
a. Password Strength
b. Password Use
c. Password Storage
d. Session ID Protection
4. Cross
Site Scripting
Cara yang bisa digunakan untuk mencegah serangan cross site scripting
adalah dengan melakukan validasi data masuk dari user request (seperti header, cookie, user
parameter). Pendekatan negatif tidak digunakan karena usaha untuk menyaring content aktif merupakan cara yang tidak efektif.
5. Buffer
overflow
Kelemahan buffer overflow biasanya sulit dideteksi dan sulit dilakukan oleh peretas. Akan tetapi penyerang masih bisa menyari kelemahan tersebut dan melakukan buffer overflow pada sebagian aplikasi web.
Untuk memastikan keamanan, cara yang paling baik adalah dengan melakukan pengawasan apabila terdapat patch atau bug report dari produk server yang digunakan.
6. Injection
flaw
kelemahan injection flaw membuat peretas dapat mengirimkan atau memasukkan permintaan ke sistem operasi atau ke sumber external seperti basis data.
7. Insecure
Storage
Berikut adalah beberapa kesalahan yang sering terjadi:
a. Kesalahan untuk mengenkripsi data penting.
b. Tidak amannya kunci, sertifikat, dan kata sandi.
c. Kurang amannya lokasi penyimpanan data.
d.Kurangnya penghitungan dari pengacakan.
e. Kesalahan pemilihan algoritme.
f. Mencoba menciptakan algoritme enkripsi yang baru.
8. Penolakan Layanan
Merupakan serangan yang dibuat oleh peretas yang mengirimkan request dalam jumlah yang sangat besar dan dalam waktu yang bersamaan.
9. Failure To Restrict URL Access
Aplikasi web sering kali hanya menghilangkan tampilan tautan (URL) dari pengguna yang tidak berhak. Meskipun begitu, hal ini dapat dengan sangat mudah dilewati dengan mengakses URL tersebut secara langsung.
Jika ingin memeriksa aplikasi Web anda dengan lebih lengkap, anda dapat membaca langsung dari situs resmi OWASP.
10. Insecure
Configuration Management
Kesalahan konfigurasi server yang bisa menimbulkan masalah:
a. Celah keamanan yang belum ditambal dari perangkat lunak yang ada pada server-administrator
tidak melakukan penambalan perangkat lunak yang ada pada server.
b. Celah keamanan server yang bisa menanpilkan daftar dari direktori atau juga serangan berupa direktori melintang (traversal
directory).
c. File-file cadangan atau file contoh, file-file script, dan konfigurasi yang tidak perlu.
d. Hak akses direktori atau file yang salah.
e. Adanya layanan seperti administrasi jarak jauh ( remote
administration) dan manajemen konten (content
management)
yang masih aktif.
f. Penggunaan akun default dan kata sandi default.
g. Fungsi administratif atau fungsi debug yang bisa diakses.
h. Adanya pesan kesalahan (eror) yang informatif dari segi teknis.
i. Kesalahan konfigurasi SSL certificate dan pengesetan enkripsi.
j. Penggunaan self-signet certificate untuk melakukan autentifikasi.
k. Penggunaan default certificate.
l. Kesalahan autentifikasi dengan sistem eksternal.
Tidak ada komentar:
Posting Komentar