Website menjadi salah satu aset penting yang perlu diperhatikan terutama dari segi keamanannya.
Jika kita mengacu standar keamanan website di internet, mungkin Anda akan bingung karena banyak bahasan tentang standar keamanan.
Nah dari banyaknya informasi dari internet tersebut kurang bisa dipertanggung jawabkan, karena bisa saja berasal dari opini masing-masing.
Kabar baiknya ada satu organisasi nirlaba internasional yang bergerak dalam keamanan siber, yaitu OWASP.
Sahabat Qwords sudah tahu apa itu OWASP? Jika belum mari kita bahas pada artikel berikut mengenai OWASP secara lengkap beserta dengan standar keamanannya.
Simak sampai akhir pembahasanya!
Apa Itu OWASP
OWASP merupakan kepanjangan dari Open Web Application Security Project.
OWASP adalah organisasi nirlaba internasional yang berfokus pada keamanan aplikasi website.
OWASP didirikan tanggal 9 September 2001 oleh Mack Curphey, fokus utama organisasi ini pada web security, application security dan vulnerability assessment.
Sudah lebih dari dua dekade OWASP berdiri, sudah ada puluhan ribu anggota yang tersebar di seluruh dunia.
OWASP juga sering mengadakan konferensi dan pelatihan keamanan bagi para anggota dan kalangan umum.
Hingga saat ini OWASP sudah mengeluarkan beberapa dokumen yang bisa Anda jadikan pedoman keamanan.
Dokumen OWASP Untuk Menjaga Keamanan Website
Bukti dari hasil kerja keras yang dilakukan oleh tim OWASP, saat ini sudah terlahir 5 dokumen OWASP yang bisa Anda jadikan panduan.
Panduan ini lebih cocok digunakan bagi para developer saat melakukan proses develop website dan aplikasi.
- OWASP Developer Guide
Bagi para developer, untuk memulai membangun website dan aplikasi yang aman pelu membaca dulu OWASP developer guide.
OWASP Developer Guide sudah melalui revisi pada tahun 2014 sejak pertama kali dirilis dan jadi rujukan standar keamanan website.
Jadi Anda tidak perlu ragu lagi, guideline ini sudah menyesuaikan dengan keadaan saat ini.
Tinggal para developer mengikuti aturan-aturan yang ada tanpa perlu melakukan modifikasi.
- OWASP Application Security Verification Standard (ASVS)
ASVS merupakan standarisasi keamanan dunia untuk aplikasi dan website yang bisa digunakan oleh customer, organisasi dan para vendor.
OWASP membaginya dalam tiga level berbeda, yaitu:
- Opportunistic level, untuk kebutuhan software umum
- Standar level, untuk kebutuhan aplikasi yang menggunakan data sensitif
- Advanced level, untuk kebutuhan aplikasi yang lebih penting dan kompleks
- Security Knowledge Framework
Framework yang dibangun oleh OWASP ini akan memudahkan para developer melakukan implementasi dalam hal keamanan untuk aplikasi dan website dengan ASVS.
- Developer Cheat Sheet Series
Developer cheat sheet series merupakan cheat sheet berbentuk bullet point yang harus dijawab oleh developer.
Semua pertanyaan sudah dikonsultasikan kepada para pakar keamanan website di seluruh dunia.
Cara cek standar keamanan website ini cukup mudah dilakukan, jadi tinggal pilih jawabannya, kemudian lihat hasilnya apakah sudah bagus atau masih memerlukan revisi.
- OWASP Top 10
OWASP top 10 merupakan dokumen paling terkenal dan paling banyak digunakan saat ini sebagai standar keamanan website.
Nah agar lebih jelasnya, OWASP Top 10 akan kita bahas pada pembahasan dibawah ini.
10 Standar Keamanan Website dari OWASP
OWASP Top Ten merupakan rangkuman-rangkuman tentang kelemahan dari web aplikasi yang paling rentan terhadap serangan hacker.
Untuk itu bagi Anda para developer bisa memperhatikan OWASP top ten agar semuanya tetap aman.
OWASP top 10 ini selaku dilakukan update sesuai dengan perkembangan teknologi saat ini, jadi Anda tidak perlu takut ketinggalan zaman lagi.
Ada beberapa perbedaan dan update antara OWASP top 10 tahun 2017 dengan tahun 2021.
Berikut penjelasan OWASP top 10, update tahun 2021:
1. Broken Access Control
Standar OWASP pertama adalah broken access control.
Website atau aplikasi berbasis web akan melakukan verifikasi fungsi sebelum fungsi tersebut dibuat dalam interface.
Tetapi jika permintaan yang dibuat tidak ada verifikasi, maka para hacker bisa dengan mudah mengakses fungsi tanpa perlu verifikasi terlebih dahulu.
Untuk itu pastikan semua fungsi dilakukan verifikasi terlebih dahulu agar akses control terbatas.
2. Cryptographic Failures
Kegagalan kriptografi merupakan kerentanan terhadap keamanan kriptografi aplikasi dan website mengenai data-data sensitif.
Contohnya data sensitif seperti kata sandi, alamat email, no handphone dan informasi pengguna lainnya.
Usahakan untuk menggunakan level enkripsi yang tinggi, tujuannya agar tidak mudah dipecahkan oleh para hacker.
3. Injection
Injection bisa terjadi dengan cara memanfaatkan formulir input.
Hacker akan memasukan kode database SQL lewat formulir inputan tersebut agar bisa dieksekusi.
Nah jika seperti ini aplikasi atau website rawan terkena SQL Injection, dengan begitu hacker akan dengan mudah mengakses data sensitif dari website.
Untuk itu Anda harus melakukan validasi data yang dimasukan oleh user agar tidak terjadi injection data.
4. Insecure Design
Insecure design merupakan satu dari tiga kategori baru yang masuk dalam OWASP top ten.
Desain yang tidak aman atau kurang efisien merupakan sumber risiko yang menjadi ancaman keamanan dari web aplikasi.
Penulisan script yang dibuat tidak sesuai standar sehingga meninggalkan celah yang bisa dieksploitasi oleh hacker.
5. Security Misconfiguration
Kesalahan konfigurasi keamanan menjadi ranking kelima paling banyak ditemui pada aplikasi dan website.
Jangan pernah melakukan setting secara default, lakukan setting sesuai dengan kebutuhan dari aplikasi dan website yang dibangun.
Silahkan tentukan kira-kira masuk dalam level opportunistic, standard atau advance.
6. Vulnerable and Outdated Components
Komponen yang rentan dan sudah kadaluarsa menjadi ancaman selanjutnya yang perlu Anda perhatikan.
Contoh mudahnya ketika aplikasi, software, plugin dan sejenisnya sudah meminta update, maka segera lakukan update.
Update memiliki fungsi untuk memperbaiki bug dari versi sebelumnya.
7. Identifications and Authentication Failures
Kegagalan identifikasi dan otentikasi bisa saja terjadi karena kurang menerapkan keamanan dengan baik.
Karena lemahnya algoritma hashing, sehingga kata sandi bisa dengan mudah diekspos oleh pengguna.
Penyerang bisa saja memanfaatkan dengan tindakan seperti brute force dll.
8. Software and Data Integrity Failures
Software and data integrity failures merupakan ancaman baru yang masuk dalam OWASP nomor 8.
Kompleksitas pegembangan website dan aplikasi kadang memaksa para developer untuk menggunakan plugin, modul dari repository publik.
Kegagalan bisa terjadi karena proses integrasi yang kurang teliti sehingga menimbulkan celah keamanan.
Beberapa contoh kegagalan seperti software pihak ketiga yang sudah tidak didukung, konfigurasi tidak aman, kesalahan dari sisi server dan client dan lainnya.
9. Security Logging and Monitoring Failures
Kegagalan untuk mencatat, memantau dan melaporkan kejadian ancaman keamanan menjadi celah para hacker untuk mengeksploitasi web app.
Membiarkan kejadian seperti ini tanpa adanya tindakan membuat kerentanan dan eksploitasi menjadi semakin berbahaya.
Beberapa peristiwa keamanan yang perlu dicatat seperti code injection, command injection, cross-site scripting, forceful browsing dan lainnya.
10. Server Side Request Forgery (SSRF)
Terakhir, server side request forgery menjadi resiko ancaman baru yang masuk dama OWASP 2021.
Celah keamanan yang dibuat SSRF bisa digunakan para hacker untuk melakukan request ilegal.
Request bisa dilakukan ke external website maupun internal website.
Beberapa tindakan yang berbahaya seperti port scanning, pemalsuan request ke website lain, membaca local file, memanfaatkan protocol internal dll.
Bagaimana sahabat Qwords? Sudah bisa memahami 10 standar keamanan website dari OWASP?
Jika masih ada pertanyaan silahkan ajukan dalam kolom komentar dibawah.
Amankan Website dengan Hosting Terbaik
Bagi Anda yang sedang mencari hosting untuk keperluan website dan aplikasi yang lebih aman, kami memiliki rekomendasi terbaik.
Qwords menjadi penyedia layanan hosting yang sudah berpengalaman puluhan tahun dan sudah mengadopsi server tier 3.
Tidak perlu takut lagi website down, uptime server mencapai 99,99% dengan bantuan tim teknis siap 24/7.
Yuk coba sekarang juga!