Keamanan Aplikasi Berbasis Web
Aplikasi berbasis web memiliki sejumlah kerentanan umum yang dapat di eksploitasi. Open Web Application Security Project (OWASP) Foundation telah merilis sepuluh jenis kerentanan keamanan aplikasi web paling kritis dan umum terjadi. Daftar ini dibuat berdasarkan penelitian dan analisis mendalam terhadap data yang dikumpulkan dari berbagai sumber di seluruh dunia.
Badan Siber dan Sandi Negara (BSSN) juga telah mengeluarkan pedoman teknis keamanan aplikasi berbasis web yang termuat dalam Peraturan BSSN Nomor 4 Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik.
Website Vulnerability
Open Web Application Security Project (OWASP) Foundation telah merilis daftar kerentanan umum pad...
A01:2021-Broken Access Control
Deskripsi Broken Access Control adalah salah satu ancaman keamanan aplikasi/web yang paling seri...
A02:2021 - Cryptographic Failures
Deskripsi Cryptographic Failures, atau kegagalan kriptografi terjadi ketika mekanisme kriptograf...
A03:2021 - Injection
Deskripsi Kerentanan muncul ketika data yang tidak terpercaya dikirimkan ke interpreter, yang da...
A04:2021 - Insecure Design Vulnerabilities
Deskripsi Insecure design vulnerabilities adalah celah keamanan yang muncul akibat kurangnya per...
A05:2021 - Security Misconfiguration
Deskripsi Security misconfiguration merupakan kondisi sistem komputer, aplikasi, atau infrastru...
A06:2021 - Vulnerable and Outdated Components
Deskripsi Vulnerable and Outdated Components merupakan kerentanan perangkat lunak dalam aplikasi...
A07:2021 - Identification and Authentication Failures
Deskripsi Identification and authentication failures merupakan kelemahan atau kegagalan dalam si...
A08:2021 - Software and Data Integrity Failures
Deskripsi Software and Data Integrity Failures merupakan kondisi keaslian, konsistensi, dan keam...
A09:2021 - Security Logging and Monitoring
Deskripsi Security Logging and Monitoring Failures terjadi ketika sistem tidak mampu mencata...
A10:2021 - Server-Side Request Forgery
Deskripsi Server-Side Request Forgery (SSRF) adalah jenis kerentanan keamanan yang terjadi ketik...
Pengukuran Tingkat Kerentanan (Severity)
Kerentanan yang telah diidentifikasi perlu dinilai dan dikelompokkan tingkat kerentanannya (sever...
Common Vulnerability Scoring System (CVSS)
Common Vulnerability Scoring System (CVSS) adalah standar industri yang bebas dan terbuka untuk m...
Metrik Eksploitasi (Exploitation Metrics)
Vektor Serangan (Attack Vector / AV) Vektor serangan menggambarkan konteks kemungkinan eksploita...
Metrik Dampak (Impact Metrics)
Metrik menggambarkan dampak kerentanan yang berhasil dieksploitasi. Namun demikian, analis harus ...
Metrik Ancaman (Threat Metrics)
Metrik ancaman (threat metrics) mengukur kondisi teknik eksploitasi / ketersediaan kode untuk me...
Metrik Lingkungan (Environmental Metric)
Metrik memungkinkan pengguna mengalisis nilai berdasarkan tingkat kritikalitas dari aset TI yang ...
Standar Teknis Keamanan Aplikasi Berbasis Web
Badan Siber dan Sandi Negara (BSSN) telah menerbitkan standar teknis keamanan aplikasi berbasis w...
a. Autentikasi
Autentikasi dilakukan dengan: menggunakan manajemen kata sandi untuk proses autentikasi; mene...
b. Manajemen Sesi
Manajemen sesi dilakukan dengan: menggunakan pengendali sesi untuk proses manajemen sesi; men...
c. Persyaratan Kontrol Akses
Persyaratan kontrol akses dilakukan dengan prosedur: menetapkan otorisasi pengguna untuk memba...
d. Validasi Input
Validasi input dilakukan dengan prosedur: menerapkan fungsi validasi input pada sisi server; ...
e. Kriptografi pada Verifikasi Statis
Kriptografi pada verifikasi statis sebagaimana dilakukan dengan prosedur: menggunakan algoritm...
f. Penanganan Eror dan Pencatatan Log
Penanganan eror dan pencatatan log dilakukan dengan prosedur: mengatur konten pesan yang ditam...
g. Proteksi Data
Proteksi data dilakukan dengan prosedur: melakukan identifikasi dan penyimpanan salinan inform...
h. Keamanan Komunikasi
Keamanan komunikasi dilakukan dengan prosedur: menggunakan komunikasi terenkripsi; mengatur k...
i. Pengendalian Kode Berbahaya
Pengendalian kode berbahaya dilakukan dengan prosedur: menggunakan analisis kode dalam kontrol...
j. Logika Bisnis
Logika bisnis dilakukan dengan prosedur: memproses alur logika bisnis dalam urutan langkah dan...
k. Keamanan File
Keamanan file dilakukan dengan prosedur: mengatur jumlah file untuk setiap pengguna dan kuota...
l. Keamanan API dan Web Service
Keamanan API dan web service dilakukan dengan prosedur: melakukan konfigurasi layanan web; me...
m. Keamanan Konfigurasi
Keamanan konfigurasi dilakukan dengan prosedur: mengonfigurasi server sesuai rekomendasi serve...