1. A01:2021-Broken Access Control naik dari posisi kelima; 94% dari aplikasi yang telah diuji dengan broken access kontrol dalam beberapa bentuk. 34 CWE yang dipetakan ke Broken Access Control memiliki lebih banyak kemunculan dalam aplikasi daripada kategori lainnya.
https://owasp.org/Top10/id/
.png)
Kerentanan kontrol akses di bagian ini, saya menjelaskan:
Apa itu kontrol akses?
Kontrol akses adalah penerapan batasan pada siapa atau apa yang diberi wewenang untuk melakukan tindakan atau mengakses sumber daya.
Kontrol akses menentukan apakah pengguna diperbolehkan melakukan tindakan yang mereka coba lakukan.
Kontrol akses yang rusak adalah hal biasa dan sering kali menimbulkan kerentanan keamanan yang kritis. Desain dan pengelolaan kontrol akses adalah masalah kompleks dan dinamis yang menerapkan batasan bisnis, organisasi, dan hukum pada implementasi teknis. Keputusan desain kontrol akses harus dibuat oleh manusia sehingga potensi kesalahannya tinggi.
Kontrol akses vertikal
Kontrol akses vertikal adalah mekanisme yang membatasi akses ke fungsi sensitif untuk tipe pengguna tertentu.
Dengan kontrol akses vertikal, tipe pengguna yang berbeda memiliki akses ke fungsi aplikasi yang berbeda. Misalnya, administrator mungkin dapat mengubah atau menghapus akun pengguna mana pun, sementara pengguna biasa tidak memiliki akses ke tindakan ini.
Kontrol akses horizontal
Kontrol akses horizontal adalah mekanisme yang membatasi akses ke sumber daya untuk pengguna tertentu.
Dengan kontrol akses horizontal, pengguna yang berbeda memiliki akses ke sub kumpulan sumber daya dengan jenis yang sama. Misalnya, aplikasi perbankan akan memungkinkan pengguna untuk melihat transaksi dan melakukan pembayaran dari rekening mereka sendiri, namun tidak dari rekening pengguna lain.
Kontrol akses yang bergantung pada konteks
Kontrol akses yang bergantung pada konteks membatasi akses ke fungsionalitas dan sumber daya berdasarkan keadaan aplikasi atau interaksi pengguna dengannya.
Contoh kontrol akses yang rusak
Kerentanan kontrol akses yang rusak muncul ketika pengguna dapat mengakses sumber daya atau melakukan tindakan yang tidak seharusnya dapat mereka lakukan.
https://portswigger.net/web-security/access-control#:~:text=Broken%20access%20control%20vulnerabilities%20exist,supposed%20to%20be%20able%20to.
2. A02:2021-Cryptographic Failures menggeser satu posisi menjadi #2, sebelumnya dikenal sebagai Pengungkapan Data Sensitif, yang merupakan gejala luas dan bukan penyebab utama. Fokus baru di sini adalah pada kegagalan yang terkait dengan Kriptografi yang sering mengarah pada Pengungkapan Data Sensitif atau sistem yang telah terinfeksi oleh hacker.
https://owasp.org/Top10/id/
.png)
Apa itu Kegagalan Kriptografi?
Kegagalan kriptografi adalah saat penyerang sering menargetkan data sensitif, seperti kata sandi, nomor kartu kredit, dan informasi pribadi, jika Anda tidak melindunginya dengan benar. Ini adalah akar penyebab paparan data sensitif.
Apa saja Contoh Umum?
Data sensitif ditransmisikan (melalui HTTP, FTP, SMTP, dll) atau disimpan dalam teks biasa (database, file, dll).
Penggunaan algoritma kriptografi yang lama atau lemah.
Penggunaan kunci enkripsi yang lemah atau default atau penggunaan kembali kunci yang disusupi.
Bagaimana Kegagalan Kriptografi Dapat Dieksploitasi?
Cacat dapat terjadi ketika Anda melakukan hal berikut: Menyimpan atau memindahkan data dalam teks yang jelas (paling umum) Melindungi data dengan enkripsi yang lama atau lemah. Memfilter atau menutupi data saat transit dengan tidak benar.
Apa Tips Utama untuk Mencegah Hal Ini?
Mengklasifikasikan data yang diproses, disimpan, atau dikirimkan oleh suatu aplikasi.
Jangan menyimpan data sensitif jika tidak perlu.
Pastikan untuk mengenkripsi semua data sensitif saat disimpan.
Memastikan adanya algoritma, protokol, dan kunci standar yang terkini dan kuat; menggunakan manajemen kunci yang tepat.
Di Pentest People, kami terus berupaya untuk memitigasi risiko dan ancaman keamanan siber dengan mengidentifikasi kerentanan dalam pertahanan sistem Anda, sehingga peretas di dunia nyata tidak dapat mengeksploitasinya. Kami menawarkan Pengujian Aplikasi Web untuk menjaga bisnis Anda tetap aman dan terlindungi.
https://www.pentestpeople.com/blog-posts/owasp-top-ten-cryptographic-failures#:~:text=What%20is%20Cryptographic%20Failure%3F,cause%20of%20sensitive%20data%20exposure.
3. A03:2021-Injection turun ke posisi ketiga. 94% aplikasi diuji untuk beberapa bentuk injeksi, dan 33 CWE yang dipetakan ke dalam kategori ini memiliki kejadian terbanyak kedua dalam aplikasi. Skrip cross-site sekarang menjadi bagian dari kategori ini dalam edisi ini.
https://owasp.org/Top10/id/
4. A04:2021-Insecure Design adalah kategori baru untuk tahun 2021, dengan fokus pada resiko yang terkait dengan kekurangan desain. Jika kita ingin benar-benar bergerak sebagai industri, itu membutuhkan lebih banyak penggunaan pemodelan ancaman, pola dan desain yang aman, dan arsitektur referensi
https://owasp.org/Top10/id/
Desain yang tidak aman adalah sebuah representasi kategori yang luas dari banyak kelemahan yang berbeda, yang diekspresikan sebagai "desain kontrol yang tidak ada atau kurang efisien." Desain tidak aman bukan sumber dari semua kategori risiko Top 10 yang lain. Ada perbedaan antara desain tidak aman dan implementasi tidak aman.
Satu dari faktor yang berkontribusi terhadap desain tidak aman adalah ketiadaan pembuatan profil risiko bisnis yang inheren dalam perangkat lunak atau sistem yang sedang dikembangkan, maka menjadi kegagagalan untuk menentukan desain keamanan level apa yang diperlukan.
Cara Mencegah
- Buat dan gunakan alur pengembangan aman dengan profesional untuk membantu dalam mengevaluasi dan mendesain keamanan serta kontrol yang terkait privasi
- Buat dan gunakan sebuah pustaka dari design pattern yang aman atau gunakan komponen yang sudah dapat dipakai
- Gunakan permodelan ancaman untuk autentikasi genting, kontrol akses, business logic, dan key flows
- Integrasikan kendali dan bahasa keamanan ke dalam cerita pengguna
- Integrasikan uji plausabilitu pada setiap tier dari aplikasi Anda (dari frontend ke backend)
- Tulis tes unit dan tes integrasi untuk memvalidasi bahwa semua aliran genting tahan ke permodelan ancaman. Kompail use-case dan misuse-case bagi setiap tier aplikasi Anda
- Segregasikan lapisan tier pada sistem dan lapisan jaringa bergantung pada kebutuhan eksposur dan proteksi
- Segregasikan tenant secara robust dengan desain pada seluruh tier
- Batasi konsumsi sumber daya oleh pengguna atau layanan
https://owasp.org/Top10/id/A04_2021-Insecure_Design/
5. A05:2021-Security Misconfiguration naik dari #6 di edisi sebelumnya; 90% aplikasi diuji untuk beberapa bentuk kesalahan konfigurasi. Dengan lebih banyak perubahan ke software dengan konfigurasi yang banyak, tidak mengherankan melihat kategori ini naik. Kategori sebelumnya untuk XML External Entities (XXE) sekarang menjadi bagian dari kategori ini.
https://owasp.org/Top10/id/
Apa Itu Kesalahan Konfigurasi Keamanan?
Kesalahan konfigurasi keamanan terjadi ketika pengaturan keamanan tidak ditentukan secara memadai dalam proses konfigurasi atau dipertahankan dan diterapkan dengan pengaturan default. Hal ini mungkin berdampak pada lapisan tumpukan aplikasi, cloud, atau jaringan mana pun.
Kerentanan umumnya muncul selama konfigurasi. Kerentanan kesalahan konfigurasi yang umum terjadi dengan penggunaan berikut ini:
Default—termasuk kata sandi, sertifikat, dan instalasi
Protokol dan enkripsi tidak digunakan lagi
Buka instance database
Daftar direktori—ini tidak boleh diaktifkan
Pesan kesalahan menampilkan informasi sensitif
Pengaturan cloud salah dikonfigurasi
Fitur yang tidak diperlukan—termasuk halaman, port, dan injeksi perintah
https://brightsec.com/blog/security-misconfiguration/#:~:text=What%20Is%20Security%20Misconfiguration%3F,application%20stack%2C%20cloud%20or%20network.
6. A06:2021-Vulnerable and Outdated Components sebelumnya berjudul Using Components with Known Vulnerabilities dan #2 dalam survei industri, tapi juga memiliki cukup data untuk masuk TOP 10 melalui analisis data. Kategori ini naik dari #9 di tahun 2017 dan merupakan masalah umum yang kami perjuangkan untuk menguji dan menilai resiko. Ini adalah satu-satunya kategori yang tidak memiliki CVE yang dipetakan ke CWE yang disertakan, jadi eksploitasi default dan bobot dampak 5.0 diperhitungkan dalam skornya.
https://owasp.org/Top10/id/
Apa yang dimaksud dengan Vulnerable and Outdated Components?
Komponen yang rentan dan ketinggalan jaman mengacu pada pustaka atau kerangka kerja pihak ketiga yang digunakan dalam aplikasi web yang diketahui memiliki kerentanan atau tidak lagi didukung oleh pengembangnya. Komponen-komponen ini dapat dieksploitasi oleh penyerang untuk mendapatkan akses tidak sah ke data sensitif atau mengambil kendali sistem.
Praktik Terbaik untuk Mengelola Komponen yang Rentan dan Kedaluwarsa
Berikut beberapa praktik terbaik untuk mengelola komponen yang rentan dan ketinggalan jaman:
Pindai aplikasi web Anda secara teratur untuk mencari kerentanan menggunakan alat otomatis.
Simpan inventaris semua perpustakaan atau kerangka kerja pihak ketiga yang digunakan dalam aplikasi web Anda.
Pantau saran keamanan dari pengembang komponen dan terapkan pembaruan secara efisien.
Hindari penggunaan komponen yang sudah lama tidak diperbarui atau tidak memiliki komunitas pengembangan aktif.
https://www.vumetric.com/blog/owasp-top-10-a06-vulnerable-and-outdated-components-explained/
7. A07:2021-Identification and Authentication Failures sebelumnya dalah Broken Authentication dan turun dari posisi kedua, dan sekarang termasuk CWE yang lebih terkait dengan kegagalan identifikasi. Kategori ini masih merupakan bagian integral dari Top 10, tetapi peningkatan ketersediaan framework yang telah distandarisasi tampaknya membantu.
https://owasp.org/Top10/id/
Apa yang dimaksud dengan Identification and Authentication Failures ?
Kegagalan identifikasi, sesuai dengan namanya, menunjukkan kurangnya kemampuan sistem untuk mengidentifikasi pengguna. Demikian pula, kegagalan otentikasi berarti ketidakmampuan aplikasi untuk memvalidasi identitas pengguna sebagai miliknya.
https://www.softwaresecured.com/intro-to-identification-and-authentication-failures/#:~:text=Identification%20failures%2C%20from%20the%20name,user's%20identity%20as%20their%20own.
8. A08:2021-Software and Data Integrity Failures adalah kategori baru untuk tahun 2021, yang berfokus pada pembuatan asusmsi terkait pembaruan perangkat lunak, data penting, dan pipeline CI/CD tanpa memverifikasi integritas. Salah satu dampak tertinggi dari CVE/CVSS yang dipetakan ke 10 CWE dalam kategori ini. Insecure Deserialization dari tahun 2017 sekarang menjadi bagian dari kategori yang lebih besar ini.
https://owasp.org/Top10/id/
Software and Data Integrity Failures berhubungan dengan kode dan infrastruktur yang tidak melindungi dari pelanggaran integritas. Contohnya adalah aplikasi bergantung pada plugin, pustaka, atau modul dari sumber, repositori, dan jaringan pengiriman konten (CDN) yang tidak tepercaya.
https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/
9. A09:2021-Security Logging and Monitoring Failures sebelumnya Logging dan Monitoring tidak memadai dan ditambahkan dari survei industri (#3), naik dari #10 sebelumnya. Kategori ini diperluas untuk mencakup lebih banyak jenis kegagalan, suatu tantangan untuk diiuji, dan tidak terwakili dengan baik dalam data CVE/CVSS. Namun, kegagalan dalam kategori ini dapat secara langsung mempengaruhi visibilitas, alert pada insiden, dan forensik
https://owasp.org/Top10/id/
Security Logging and Monitoring Failures sering kali menjadi faktor penyebab insiden keamanan besar. Sistem BIG-IP mencakup fungsionalitas logging dan pemantauan tingkat lanjut serta menyediakan fitur keamanan untuk melindungi dari serangan yang dapat diakibatkan oleh tidak memadainya logging dan pemantauan sistem dan aplikasi.
Kegagalan dalam mencatat, memantau, atau melaporkan peristiwa keamanan secara memadai, seperti upaya login, membuat perilaku mencurigakan sulit dideteksi dan secara signifikan meningkatkan kemungkinan penyerang berhasil mengeksploitasi aplikasi Anda. Misalnya, penyerang mungkin menyelidiki aplikasi atau komponen perangkat lunak Anda untuk mengetahui kerentanan yang diketahui selama jangka waktu tertentu. Membiarkan penyelidikan tersebut terus berlanjut tanpa terdeteksi akan meningkatkan kemungkinan penyerang menemukan kerentanan dan berhasil mengeksploitasi kelemahan tersebut.
Pencatatan, pemantauan, atau pelaporan yang tidak memadai membuat aplikasi Anda rentan terhadap serangan yang menargetkan bagian mana pun dari tumpukan aplikasi.
https://my.f5.com/manage/s/article/K94068935#:~:text=Security%20logging%20and%20monitoring%20failures%20are%20frequently%20a%20factor%20in,and%20application%20logging%20and%20monitoring.
10. A10:2021-Server-Side Request Forgery ditambahkan dari survei industri (#1). Data menunjukkan tingkat insiden yang relatif rendah dengan cakupan pengujian di atas rata-rata, bersama dengan peringkat di atas rata-rata untuk potensi eksploitasi dan dampak. Kategori ini mewakili skenario di mana para profesional industri memberi tahu kami bahwa ini penting, meskipun tidak diilustrasikan dalam data saat ini.
https://owasp.org/Top10/id/
Apa itu SSRF?
Server-Side Request Forgery adalah kerentanan keamanan web yang memungkinkan penyerang menyebabkan aplikasi sisi server membuat permintaan ke lokasi yang tidak diinginkan.
Dalam serangan SSRF pada umumnya, penyerang mungkin menyebabkan server membuat koneksi ke layanan internal saja dalam infrastruktur organisasi. Dalam kasus lain, mereka mungkin dapat memaksa server untuk terhubung ke sistem eksternal yang sewenang-wenang. Hal ini dapat membocorkan data sensitif, seperti kredensial otorisasi.
https://portswigger.net/web-security/ssrf
.png)
.png)
.png)
.png)
.png)
.png)
.png)
