Kursus Pelatihan OWASP Top 10 2025

A01:2025 - Kontrol Akses yang Rusak
A02:2025 - Konfigurasi Keamanan yang Salah
A03:2025 - Kegagalan Rantai Pasokan Perangkat Lunak
A04:2025 - Kegagalan Kriptografi
A05:2025 - Serangan Injection
A06:2025 - Desain yang Tidak Aman
A07:2025 - Kegagalan Autentikasi
A08:2025 - Kegagalan Integritas Perangkat Lunak atau Data
A09:2025 - Kegagalan Pencatatan dan Pengiriman Keamanan
A10:2025 - Penanganan Kondisi Eksepsi yang Salah

A01:2025 Kontrol Akses yang Rusak - Kontrol akses menegakan kebijakan sehingga pengguna tidak dapat bertindak di luar izin mereka yang ditentukan. Kegagalan biasanya mengarah pada penyimpangan informasi yang tidak sah, modifikasi atau penghapusan semua data, atau melakukan fungsi bisnis di luar batas pengguna.

A02:2025 Konfigurasi Keamanan yang Salah - Konfigurasi keamanan adalah ketika sistem, aplikasi, atau layanan cloud dikonfigurasikan dengan tidak tepat dari segi keamanan, menciptakan kerentanan.

A03:2025 Kegagalan Rantai Pasokan Perangkat Lunak - Kegagalan rantai pasokan perangkat lunak adalah gangguan atau kompromi lainnya dalam proses membangun, mendistribusikan, atau memperbarui perangkat lunak. Mereka sering disebabkan oleh kerentanan atau perubahan jahat pada kode pihak ketiga, alat, atau dependensi lain yang sistem andalkan.

A04:2025 Kegagalan Kriptografi - Secara umum, semua data dalam perjalanan harus dienkripsi pada lapisan transport (lapisan 4 OSI). Hambatan sebelumnya seperti kinerja CPU dan manajemen kunci/certifikat pribadi sekarang ditangani oleh CPU yang memiliki instruksi dirancang untuk mempercepat enkripsi (misalnya: dukungan AES) dan manajemen kunci dan sertifikat pribadi disederhanakan oleh layanan seperti LetsEncrypt.org dengan penyedia cloud utama menyediakan layanan manajemen sertifikat yang lebih terintegrasi untuk platform mereka. Selain mengamankan lapisan transport, penting juga untuk menentukan data apa yang memerlukan enkripsi saat istirahat serta data apa yang memerlukan enkripsi tambahan dalam perjalanan (pada lapisan aplikasi, lapisan 7 OSI). Misalnya, kata sandi, nomor kartu kredit, catatan kesehatan, informasi pribadi, dan rahasia bisnis membutuhkan perlindungan ekstra, terutama jika data tersebut tunduk pada undang-undang privasi, seperti Regulasi Perlindungan Data Umum Uni Eropa (GDPR), atau regulasi seperti Standar Keamanan Data PCI (PCI DSS).

A05:2025 Serangan Injection - Kerentanan injection adalah kelemahan sistem yang memungkinkan penyerang menyisipkan kode atau perintah jahat (seperti SQL atau shell code) ke dalam bidang input program, menipu sistem untuk menjalankan kode atau perintah seolah-olah menjadi bagian dari sistem. Hal ini dapat mengakibatkan konsekuensi yang sangat serius.

A06:2025 Desain yang Tidak Aman - Desain tidak aman adalah kategori luas yang mewakili berbagai kelemahan, dinyatakan sebagai “kontrol desain yang hilang atau kurang efektif.” Desain tidak aman bukanlah sumber dari semua kategori risiko Top Ten lainnya. Perlu dicatat bahwa ada perbedaan antara desain tidak aman dan implementasi tidak aman. Kami membedakan antara kelemahan desain dan cacat implementasi karena mereka memiliki penyebab akar yang berbeda, terjadi pada waktu yang berbeda dalam proses pengembangan, dan memiliki remediasi yang berbeda. Desain yang aman masih dapat memiliki cacat implementasi yang mengarah ke kerentanan yang mungkin dieksploitasi. Desain tidak aman tidak dapat diperbaiki oleh implementasi sempurna karena kontrol keamanan yang dibutuhkan tidak pernah diciptakan untuk membela terhadap serangan tertentu. Salah satu faktor yang berkontribusi pada desain tidak aman adalah kurangnya penentuan profil risiko bisnis yang inheren dalam perangkat lunak atau sistem yang dikembangkan, dan karenanya gagal menentukan tingkat desain keamanan yang diperlukan.

A07:2025 Kegagalan Autentikasi - Ketika penyerang dapat menipu sistem untuk mengenali pengguna tidak sah atau salah sebagai yang sah, kerentanan ini ada.

A08:2025 Kegagalan Integritas Perangkat Lunak atau Data - Kegagalan integritas perangkat lunak dan data berhubungan dengan kode dan infrastruktur yang tidak melindungi terhadap kode atau data tidak valid atau tidak dipercaya dianggap dipercaya dan sah. Contoh dari hal ini adalah ketika aplikasi bergantung pada plugin, library, atau modul dari sumber-sumber tidak dipercaya, repositori, dan jaringan pengiriman konten (CDNs). CI/CD pipeline yang tidak aman tanpa konsumsi dan penyediaan cek integritas perangkat lunak dapat memperkenalkan potensi akses tidak sah, kode atau sistem yang tidak aman atau jahat. Contoh lainnya adalah ketika CI/CD menarik kode atau artefak dari tempat-tempat tidak dipercaya dan/atau tidak memverifikasi mereka sebelum digunakan (dengan memeriksa tanda tangan atau mekanisme serupa). 

A09:2025 Kegagalan Pencatatan dan Pengiriman Keamanan  - Tanpa pencatatan dan pemantauan, serangan dan pelanggaran tidak dapat terdeteksi, dan tanpa pengiriman keamanan sangat sulit untuk merespons dengan cepat dan efektif selama insiden keamanan. Pencatatan yang kurang memadai, pemantauan berkelanjutan, deteksi, dan pengiriman untuk menginisiasi respons aktif terjadi kapan saja

A10:2025 Penanganan Kondisi Eksepsi yang Salah - Penanganan kondisi eksepsi dalam perangkat lunak terjadi ketika program gagal mencegah, mendeteksi, dan merespons situasi tidak biasa dan tidak dapat diprediksi, yang mengarah ke crash, perilaku tidak terduga, dan kadang-kadang kerentanan. Hal ini dapat melibatkan satu atau lebih dari tiga kegagalan berikut; aplikasi tidak mencegah situasi tidak biasa dari terjadi, tidak mengidentifikasi situasi saat sedang terjadi, dan/atau merespons dengan buruk atau sama sekali tidak ada setelahnya.

Kami akan membahas dan menyajikan aspek praktis dari:

Kontrol Akses yang Rusak
- Contoh praktis kontrol akses yang rusak
- Kontrol akses yang aman dan best practices

Konfigurasi Keamanan yang Salah
- Contoh nyata dari konfigurasi yang salah
- Langkah-langkah untuk mencegah konfigurasi yang salah, termasuk manajemen konfigurasi dan alat otomatisasi

Kegagalan Kriptografi
- Analisis rinci dari kegagalan kriptografi seperti algoritma enkripsi lemah atau manajemen kunci yang tidak tepat
- Pentingnya mekanisme kriptografi yang kuat, protokol aman (SSL/TLS), dan contoh kriptografi modern dalam keamanan web

Serangan Injection
- Penjelasan rinci tentang SQL, NoSQL, OS, dan LDAP injection
- Teknik mitigasi menggunakan prepared statements, parameterized queries, dan escaping inputs

Desain yang Tidak Aman
- Kami akan mengeksplorasi kelemahan desain yang dapat mengarah ke kerentanan, seperti validasi input yang tidak tepat
- Kami akan mempelajari strategi untuk arsitektur aman dan prinsip-prinsip desain yang aman

Kegagalan Autentikasi
- Isu-isu autentikasi umum
- Strategi autentikasi yang aman, seperti otentikasi dua faktor dan penanganan sesi yang tepat

Kegagalan Integritas Perangkat Lunak atau Data
- Fokus pada masalah seperti pembaruan perangkat lunak tidak dipercaya dan pengubahan data
- Mekanisme pembaruan yang aman dan cek integritas data

Kegagalan Pencatatan dan Monitoring Keamanan
- Pentingnya pencatatan informasi keamanan yang relevan dan pemantauan aktivitas mencurigakan
- Alat dan praktik untuk pencatatan yang tepat dan monitoring real-time untuk mendeteksi pelanggaran lebih awal