Pages

Sunday, 1 April 2012

O W A S P


A.PENDAHULUAN

Open Web Application Security Project (OWASP) adalah sumber-aplikasi yang terbuka proyek keamanan. Komunitas OWASP meliputi perusahaan, organisasi pendidikan, dan individu dari seluruh dunia. Komunitas ini berfungsi untuk membuat artikel bebas yang tersedia, metodologi, dokumentasi, peralatan, dan teknologi.. Yayasan OWASP adalah 501 (c) (3) organisasi amal yang mendukung dan mengelola proyek-proyek OWASP dan infrastruktur.

WASP tidak berafiliasi dengan perusahaan teknologi, meskipun mendukung penggunaan informasi teknologi keamanan. OWASP menghindari afiliasi karena percaya kebebasan dari tekanan organisasi mungkin akan mudah untuk itu untuk memberikan kemudahan yang praktis, efektif informasi biaya mengenai keamanan aplikasi.OWASP pendukung pendekatan keamanan aplikasi dengan memperhatikan proses, dan teknologi dimensi .

Dokumen OWASP termasuk buku-panjang OWASP Panduan dan diadopsi secara luas OWASP Top 10 dokumen kesadaran yang banyak digunakan OWASP sebagian besar alat termasuk lingkungan mereka pelatihan, pengujian mereka penetrasi proxy WebScarab , dan mereka OWASP BERSIH. tools. OWASP mencakup sekitar 100 mitra lokal di seluruh dunia dan ribuan peserta pada milis proyek. OWASP telah menyelenggarakan AppSec serangkaian konferensi untuk lebih membangun komunitas keamanan aplikasi.

WASP juga merupakan badan standar muncul, dengan penerbitan standar pertama pada Desember 2008, OWASP Keamanan Aplikasi Standar Verifikasi (ASVS) . Tujuan utama dari OWASP proyek ini adalah untuk membantun tngkat ketelitian yang di butuhkan keamanan aplikasi web juannya adalah untuk menciptakan satu set standar terbuka komersial-dapat dilaksanakan yang disesuaikan dengan teknologi berbasis web yang spesifik. Sebuah Web Service Edisi sedang dalam pengembangan.

B. TUJUAN OWASP
OWASP dimulai pada September 9, 2001 Oleh Mark Curphey dan Dennis Groves. Sejak akhir 2003, Jeff Williams telah menjabat sebagai Ketua relawan dari OWASP. OWASP Foundation, sebuah (di Amerika Serikat) didirikan pada tahun 2004 dan mendukung infrastruktur OWASP dan proyek.. OWASP tidak pengakuan tentang individu namun komunitas berbagi pengetahuan. . Para Pemimpin OWASP bertanggung jawab untuk membuat keputusan tentang arah teknis, prioritas proyek, jadwal, dan melepaskan.. Secara kolektif, para pemimpin OWASP dapat dianggap sebagai pengurus Yayasan OWASP.

Tujuan utama dari OWASP Top 10 adalah untuk mendidik pengembang, desainer, arsitek, dan organisasi tentang konsekuensi dari kerentanan keamanan aplikasi web yang paling umum.. contohnya telah dipaparkan dalam OWASP TOP. Keamanan Tidak bisa dilakukan sekali saja. aplikasi web Secure hanya mungkin ketika aman SDLC (Software Development Life Cycle) digunakan. Secure program yang aman dengan desain, selama pengembangan, dan secara default. Sedikitnya ada 300 masalah yang mempengaruhi keamanan secara keseluruhan dari suatu aplikasi web,masalah ini secara rinci .penting bagi siapa saja mengembangkan aplikasi web hari ini. Demi kemanan.

C. OWASP TOP 10
Umunya para pembuat web akan memprioritaskan bagaimana membuat web yang menarik bagi pengunjung dan menempatkan keamanan web di urutan ke-sekian. Padahal, umumnya aplikasi web adalah penghubung terdepan antara user ataupun attacker, sekaligus sebagai pintu masuk ke seluruh data yang relatif penting milik perusahaan anda.

Para pembuat/penyedia web umumnya mengkategorikan keamanan web sebagai suatu hal yang hanya perlu di pikirkan setelah web itu di buat dan siap di gunakan oleh pengguna. Banyak ahli keamanan web bahkan menyatakan bahwa, umumnya keseluruhan website yang ada di internet rentan untuk di kuasai oleh penyerang, dan celah tersebut umumnya relatif gampang ditemukan bahkan untuk di eksploitasi.

Ditahun 2007 ini suatu organisasi non-profit Open Web Application Security Project (OWASP) telah merilis satu buah daftar berisi 10 celah teratas yang dapat mengancam website anda, daftar ini pertama kali di rilis di tahun 2004. Daftar yang dibuat di tahun 2007 ini telah sangat berkembang, teknologi web (2.0) baru seperti AJAX dan RIA (Rich internet Application) yang membuat tampilan website semakin menarik dan mengakibatkan timbul berbagai jenis celah baru pun telah di ikutkan.

Berikut adalah daftar yang di keluarkan oleh OWASP dalam “Top 10 ″ :

A1 – Cross Site Scripting (XSS)
XSS adalah suatu cara memasukan code/script HTML kedalam suatu web site dan dijalankan elalui browser di client . XSS merupakan pilihan yang menarik,karena untuk melakukan ss hanya di butuhkan sebuah browser. Ingat XSS adalah hanya memasukan cript kedalam url site target . Ada perbedaan antara XSS dengan cript injetion . Xss hasilnya hanya bisa diliat secara temporary beda engan script injection yang full merubahnya sama seperti kita mendapatkanroot dan merubah halaman index nya.

Celah XSS, adalah saat pengguna web aplikasi dapat memasukkan data dan mengirimkan ke web browser tanpa harus melakukan validasi dan encoding terhadap isi data tersebut, Celah XSS mengakibatkan penyerang dapat menjalankan potongan kode (script) miliknya di browser target, dan memungkinkan untuk mencuri user session milik target, bahkan sampai menciptakan Worm.

A2 – Injection Flaws
Celah Injeksi, umumnya injeksi terhadap SQL (database) dari suatu aplikasi web. Hal ini mungkin terjadi apabila pengguna memasukkan data sebagai bagian dari perintah (query) yang menipu interpreter untuk menjalankan perintah tersebut atau merubah suatu data.

A3 – Malicious File Execution
Celah ini mengakibatkan penyerang dapat secara remote membuat file yang berisi kode dan data untuk di eksekusi, salah satunya adalah Remote file inclusion (RFI).

A4 – Insecure Direct Object Reference
Adalah suatu celah yang terjadi saat pembuat aplikasi web merekspos referensi internal penggunaan objek, seperti file, direktori, database record, dll

A5 – Cross Site Request Forgery (CSRF)
Celah ini akan memaksa browser target yang sudah log-in untuk mengirimkan “pre-authenticated request”terhadap aplikasi web yang diketahui memiliki celah, dan memaksa browser target untuk melakukan hal yang menguntungkan penyerang.

A6 – Information Leakage and Improper Error Handling
Penyerang menggunakan informasi yang didapatkan dari celah yang di akibatkan oleh informasi yang diberikan oleh web aplikasi seperti pesan kesalahan (error) serta konfigurasi yang bisa di lihat.

A7 – Broken Authentication and Session Management
Celah ini merupakan akibat buruknya penanganan proses otentikasi dan manajemen sesi, sehingga penyerang bisa mendapatkan password, atau key yang di gunakan untuk otentikasi.

A8 – Insecure Cryptographic Storage
Aplikasi web umumnya jarang menggunakan fungsi kriptografi untuk melindungi data penting yang dimiliki, atau menggunakan fungsi kriptografi yang di ketahui memiliki kelemahan

A9 – Insecure Communications
Sedikit sekali aplikasi web yang mengamankan jalur komunikasinya, hal inilah yang dimanfaatkan oleh penyerang sebagai celah untuk mendapatkan informasi berharga.

A10 – Failure to Restrict URL Access
Seringkali, aplikasi web hanya menghilangkan tampilan link (URL) dari pengguna yang tidak berhak, tetapi hal ini dengan sangat mudah dilewati dengan mengakses URL tersebut secara langsung.

CARA PENCEGAHAN 
Kesimpulan [pencegahan] :
-  Hilangkan parameter global , sehingga tidak terbaca pada address bar
-  Gunakan secure (https://)
-  Gunakan tekhnik kriptografi (enkrip – dekrip) dan usahakan rumus buatan sendiri (tidakumum) sehingga yang mengetahui key-nya hanya kita
- Test bug pada website kita sebelum di upload (http://www.appperfect.com/products/test-manager.html) firebug firefox addon
- Gunakan media browser dengan secure yang terjamin (menghindari pemanfaatan chache cookies)
-  Filter semua inputan dari user, dari client side dan server side
-  Letakkan file index dan default pada direktori root

sumber : 




1 comment: