Widget HTML Atas


Top 10 OWASP 2024

1. Kontrol Akses yang Rusak (Broken Access Control)

Kontrol akses yang rusak terjadi ketika ada masalah dalam penegakan kontrol akses yang memungkinkan pengguna melakukan tindakan di luar batasan yang telah ditentukan. Misalnya, penyerang bisa mengeksploitasi celah dalam aplikasi untuk mendapatkan akses yang lebih tinggi ke data yang seharusnya tidak dapat diaksesnya dan melakukan tindakan yang tidak sah.



2. Kegagalan Kriptografi (Cryptographic Failure)

Kegagalan kriptografi bisa terjadi ketika Anda menyimpan atau mengirim data dalam teks yang jelas atau mencoba melindungi data dengan enkripsi yang lama atau lemah. Contohnya, jika suatu situs tidak menerapkan TLS untuk semua halaman, penyerang dapat mencuri cookie sesi pengguna dan kemudian memutar ulang cookie tersebut untuk membajak sesi pengguna yang sudah terautentikasi, serta mengakses atau memodifikasi data pribadi pengguna.

3. Serangan Injeksi (Injection Attacks)

Serangan injeksi adalah jenis kerentanan keamanan yang muncul ketika aplikasi mengambil input dari pengguna dan menggunakannya dengan cara yang tidak aman. Serangan injeksi termasuk salah satu serangan paling berbahaya di mana penyerang mengirimkan data berbahaya untuk membuat aplikasi memprosesnya dan melakukan sesuatu yang tidak seharusnya dilakukan.

4. Desain yang Tidak Aman (Insecure Design) 

Desain yang tidak aman dapat diartikan sebagai desain kontrol yang hilang atau tidak efektif. Jika desain sistem atau produk tidak aman, maka dapat dianggap sebagai desain yang tidak aman. Sebagai contoh, aktor jahat dapat memesan 600 tiket film untuk jangka waktu tertentu, mencegah pembeli asli untuk memesan. Situasi ini bisa dicegah jika desain sistem membatasi pemesanan maksimal 15 tiket.

5. Kesalahan Konfigurasi Keamanan (Security Misconfiguration)

Kerentanan misconfiguration adalah kelemahan dalam konfigurasi yang mungkin ada pada komponen perangkat lunak atau mungkin terdapat layanan yang tidak diperlukan diaktifkan, seperti fungsionalitas administrasi jarak jauh. Sebagai contoh, perangkat lunak server web mungkin dikirimkan dengan akun pengguna default yang dapat digunakan oleh penyerang untuk mengakses sistem, atau perangkat lunak tersebut mungkin mengandung file sampel seperti file konfigurasi dan skrip yang dapat dieksploitasi oleh penyerang.

6. Komponen Rentan (Vulnerable Components)

Istilah "komponen rentan" digunakan untuk menggambarkan perangkat lunak yang rentan terhadap pelanggaran, peretasan, atau kompromi lainnya. Penyerang dapat mengeksploitasi kerentanan komponen dan kemudian mendapatkan akses ke informasi yang tidak sah, memodifikasi data, atau menyebabkan penolakan layanan (DoS). Komponen ini bisa termasuk OS, Database, API, dan Server.

7. Kegagalan Identifikasi dan Otentikasi (Identification & Authentication Failures)

Kegagalan identifikasi dan otentikasi dapat terjadi ketika fungsi-fungsi yang terkait dengan identitas pengguna, otentikasi, atau manajemen sesi tidak diterapkan dengan benar. Penyerang mungkin dapat mengeksploitasi kegagalan identifikasi dan otentikasi dengan merusak kata sandi, kunci, token sesi, atau mengeksploitasi cacat implementasi lainnya untuk mengambil alih identitas pengguna lain.

8. Kegagalan Integritas Perangkat Lunak dan Data (Software and Data Integrity Failures)

Kegagalan integritas perangkat lunak dan data berkaitan dengan kode dan infrastruktur yang tidak melindungi terhadap pelanggaran integritas atau penggunaan perangkat lunak dari sumber yang tidak terpercaya. Pipeline CI/CD yang tidak aman dapat membuka potensi akses tidak sah, kode berbahaya, atau kompromi sistem.

9. Kegagalan Logging dan Monitoring (Logging and Monitoring Failures)

Kegagalan untuk mencatat, memantau, atau melaporkan peristiwa keamanan secara memadai membuat perilaku mencurigakan sulit terdeteksi dan sangat meningkatkan peluang penyerang berhasil mengeksploitasi aplikasi Anda. Misalnya, operator situs web penyedia rencana kesehatan anak-anak tidak dapat mendeteksi pelanggaran karena kurangnya pemantauan dan logging. Penyerang telah mengakses dan memodifikasi ribuan catatan kesehatan yang sensitif.

10. Pemalsuan Permintaan dari Server (Server-Side Request Forgery - SSRF)

Serangan SSRF digunakan untuk menargetkan sistem internal yang berada di belakang firewall dan tidak dapat diakses dari jaringan eksternal. Dalam serangan SSRF biasa, penyerang mungkin menyebabkan server melakukan koneksi ke layanan internal dengan mengeksploitasi layanan yang berjalan secara internal seperti SSH, localhost, FTP, dll., dan mencuri data.