Apa Itu OWASP?

OWASP atau Open Worldwide Application Security Project merupakan organisasi non profit yang bertujuan untuk membantu cyber security enthusiast untuk belajar mengenai web security dan bagaimana membuat web app menjadi lebih aman dan terhindarkan dari serangan-serangan  cyber. 

OWASP dibentuk pada tahun 2001 dengan tujuan untuk menjadi komunitas terbuka global yang memajukan aplikasi perangkat lunak yang aman melalui pendidikan, alat, dan kolaborasi. 

OWASP mempunyai banyak artikel, metodologi, dokumentasi yang sifatnya open source, memiliki komunitas yang besar dan terdiri dari banyak expert di bidang cyber security. 

Organisasi ini yang sudah berusia satu dekade lebih ini juga memiliki komunitas di Indonesia dengan hampir 4 ribu member aktif di Jakarta, mereka melakukan meetup dan saling sharing mengenai cyber security melalui situs resmi owasp.or.id.

OWASP terkenal dengan daftar top 10 yang dinamai ‘project top ten’, project ini bertujuan mendokumentasikan standar bagi developer dan keamanan aplikasi web. 

Daftar Ini mencerminkan konsensus luas tentang risiko keamanan paling penting untuk aplikasi web, yang diakui secara global oleh developer sebagai langkah pertama menuju penulisan kode yang lebih aman.

Perusahaan atau organisasi yang berurusan dengan aplikasi web maupun IoT dianjurkan untuk mengadopsi dokumen ini dan memastikan bahwa aplikasi web mereka aman dari risiko-risiko cyber security. 

Menerapkan OWASP Top 10 bisa menjadi langkah awal yang sangat efektif untuk mengubah budaya pengembangan perangkat lunak di organisasi Anda, sehingga menghasilkan kode yang lebih aman.

OWASP TOP 10

Berikut daftar Top 10 ancaman cyber security yang disusun oleh OWASP mulai dari tahun 2017 dan berbagai alasan perubahannya di tahun 2021 : 

1. A01:2021 – Broken Access Control, naik dari posisi kelima; 94% aplikasi diuji untuk beberapa bentuk broken access control. 34 Common Weakness Enumerations (CWEs) yang terkait dengan Broken Access Control memiliki kemunculan lebih banyak daripada kategori lainnya.

2. A02:2021 – Cryptographic FailuresI, naik satu posisi ke #2, sebelumnya dikenal sebagai Sensitive Data Exposure. Fokus kembali pada kegagalan terkait kriptografi yang sering menyebabkan exposure data sensitif atau kompromi sistem.

3. A03:2021 – Injection, turun ke posisi ketiga. 94% aplikasi diuji untuk beberapa bentuk injection. Cross-site Scripting sekarang bagian dari kategori ini dalam edisi ini.

4. A04:2021 – Insecure Design, adalah kategori baru untuk 2021, dengan fokus pada risiko terkait kelemahan desain. Memerlukan penggunaan threat modeling, pola desain dan prinsip keamanan yang aman.

5. A05:2021 – Security Misconfiguration, naik dari #6 di edisi sebelumnya; 90% aplikasi diuji untuk beberapa bentuk misconfiguration. Kategori untuk XML External Entities (XXE) sekarang bagian dari kategori ini.

6. A06:2021 – Vulnerable and Outdated Components, sebelumnya dikenal sebagai Using Components with Known Vulnerabilities. Pindah dari #9 pada 2017. Kategori ini sulit diuji dan menilai risiko. Tidak ada CVE yang terkait dengan CWE di sini.

7. A07:2021 – Identification and Authentication Failures, sebelumnya Broken Authentication dan turun dari posisi kedua. Tetap merupakan bagian integral dari Top 10, namun ketersediaan kerangka kerja standar tampaknya membantu.

8. A08:2021 – Software and Data Integrity Failures, kategori baru untuk 2021, fokus pada asumsi terkait pembaruan perangkat lunak, data kritis, dan CI/CD pipelines tanpa memverifikasi integritas.

9. A09:2021 – Security Logging and Monitoring Failures, sebelumnya Insufficient Logging & Monitoring. Ditambah dari survei industri dan naik dari #10 sebelumnya.

10. A10:2021 – Server-Side Request Forgery, ditambahkan dari survei komunitas Top 10. Meskipun insiden relatif rendah, kategori ini dianggap penting oleh komunitas keamanan.

Kesimpulan 

OWASP merupakan forum yang sangat bagus bagi peminat cyber security untuk mempelajari dokumentasi-dokumentasi dan standar yang digunakan dalam mengatasi keamanan aplikasi web. 

Perusahaan atau organisasi bisa merujuk kepada OWASP untuk meningkatkan kesadaran atau awareness tentang pembuatan aplikasi web yang aman dan solusi dari ancaman-ancaman cyber security.