Open Web Application Security Project (OWASP) merupakan organisasi nirlaba internasional yang didedikasikan untuk keamanan aplikasi web . Salah satu prinsip inti OWASP adalah semua materi mereka tersedia secara bebas dan mudah diakses di situs web mereka, sehingga memungkinkan siapa saja untuk meningkatkan keamanan aplikasi web mereka sendiri. Materi yang mereka tawarkan meliputi dokumentasi, alat, video, dan forum.
Penggunaan OWASP Top 10 mampu dijadikan sebagai standar pada pengkodean maupun pengujian dengan mengetahui batas minimal dan langkah awal yang harus dilakukan. Untuk penjelasan lebih lanjut berdasarkan data dari OWASP tahun 2021 terdapat Top 10 resiko keamanan siber teratas antara lain.
Broken Access Control
Sebanyak 94% aplikasi diuji untuk beberapa bentuk kontrol akses yang rusak terdapat 34 Common Weakness Enumerations (CWEs) yang dipetakan ke Kontrol Akses Rusak memiliki lebih banyak kemunculan dalam aplikasi dibandingkan kategori lainnya.
Cryptographic Failures
Paparan Data Sensitif merupakan gejala umum dan bukan penyebab utama. Pada permasalahan ini berfokus terhadap kegagalan terkait kriptografi yang sering kali menyebabkan paparan data sensitif atau gangguan sistem.
Injection
Ada 94% aplikasi diuji untuk beberapa bentuk injeksi, dan 33 CWE (Common Weakness Enumerations) yang dipetakan ke dalam kategori ini memiliki kemunculan terbanyak kedua dalam aplikasi. Skrip Lintas Situs kini menjadi bagian dari kategori ini di edisi ini.
Insecure Design
Hal ini memerlukan lebih banyak penggunaan pemodelan ancaman, pola dan prinsip desain yang aman, dan arsitektur referensi.
Security Misconfiguration
Semakin banyaknya peralihan ke perangkat lunak yang sangat dapat dikonfigurasi, tidak mengherankan jika kategori ini naik. Kategori sebelumnya untuk Entitas Eksternal XML (XXE) kini menjadi bagian dari kategori ini.
Vulnerable and Outdated Components
Hal ini menjadi masalah umum yang sulit diuji nilai risikonya dan menjadi satu-satunya kategori yang tidak memiliki Kerentanan dan Eksposur Umum (CVE) yang dipetakan ke CWE (Common Weakness Enumerations) yang disertakan.
Identifications and Authentication Failures
Otentikasi rusak dan meluncur ke bawah dari posisi kedua, dan sekarang mencakup CWE ((Common Weakness Enumerations) yang lebih terkait dengan kegagalan identifikasi.
Software and Data Integrity Failures
Kategori ini berfokus pada pembuatan asumsi terkait pembaruan perangkat lunak, data penting, dan pipeline CI/CD tanpa memverifikasi integritas.
Security Logging and Monitoring Failures
Kategori ini diperluas untuk mencakup lebih banyak jenis kegagalan, sulit untuk diuji, dan tidak terwakili dengan baik dalam data CVE/CVSS. Namun, kegagalan dalam kategori ini dapat berdampak langsung pada visibilitas, peringatan insiden, dan forensik.
Server Side Request Forgery
Data ini menunjukkan tingkat kejadian yang relatif rendah dengan cakupan pengujian di atas rata-rata, serta peringkat potensi eksploitasi dan dampak di atas rata-rata. Kategori ini mewakili skenario di mana anggota komunitas keamanan mengatakan kepada kita bahwa hal ini penting, meskipun hal tersebut tidak diilustrasikan dalam data saat ini.
Dari beberapa ulasan terkait OWASP diatas, penting bagi Anda untuk memahami apa itu OWASP dalam menjaga kerentanan sistem dan keamanan siber. Widya Security memiliki tim ahli yang telah memahami prinsip OWASP dan bersertifikat standar internasional EC-Council, Certified Secure Computer User, Computer Hacking Forensic Investigator, dan Certified Ethical Hacker. Hubungi kami segera untuk mengamankan sistem data Anda!
Ditulis Oleh : Afrilia Rizki Bening A.
