Kursus Pelatihan OWASP Top 10

Pengenalan

• Pengantar tentang OWASP, tujuannya, dan pentingnya dalam keamanan web
• Penjelasan tentang daftar OWASP Top 10
  • A01:2021-Broken Access Control naik dari posisi kelima; 94% aplikasi yang diuji memiliki beberapa bentuk kendali akses yang rusak. Tiga puluh empat Common Weakness Enumerations (CWEs) yang terpeta pada Broken Access Control memiliki lebih banyak kejadian dalam aplikasi daripada kategori manapun lainnya.
  • A02:2021-Cryptographic Failures naik satu posisi menjadi #2, sebelumnya dikenal sebagai Sensitive Data Exposure, yang lebih seperti gejala daripada penyebab utama. Perhatian baru di sini adalah tentang kegagalan terkait kriptografi yang sering menyebabkan pemaparan data sensitif atau kompromi sistem.
  • A03:2021-Injection turun ke posisi ketiga. 94% aplikasi diuji memiliki beberapa bentuk injeksi, dan tiga puluh tiga CWEs yang terpeta dalam kategori ini memiliki kejadian kedua tertinggi dalam aplikasi. Cross-site Scripting kini bagian dari kategori ini dalam edisi ini.
  • A04:2021-Insecure Design adalah kategori baru untuk tahun 2021, dengan fokus pada risiko terkait dengan kelemahan desain. Jika benar-benar ingin “berpindah ke kiri” sebagai industri, maka diperlukan lebih banyak penggunaan modeling ancaman, pola dan prinsip desain aman, dan arsitektur referensi.
  • A05:2021-Security Misconfiguration naik dari #6 dalam edisi sebelumnya; 90% aplikasi diuji memiliki beberapa bentuk konfigurasi yang salah. Dengan lebih banyak peralihan ke perangkat lunak yang sangat dapat dikonfigurasi, tidak mengherankan melihat kategori ini naik. Kategori sebelumnya untuk XML External Entities (XXE) kini bagian dari kategori ini.
  • A06:2021-Vulnerable and Outdated Components sebelumnya berjudul Using Components with Known Vulnerabilities dan berada di peringkat kedua dalam survei komunitas Top 10, tetapi juga memiliki cukup data untuk masuk Top 10 melalui analisis data. Kategori ini naik dari peringkat #9 pada tahun 2017 dan merupakan masalah yang diketahui yang sulit untuk diuji dan menilai risikonya. Ini adalah satu-satunya kategori yang tidak memiliki Common Vulnerability and Exposures (CVEs) yang terpeta pada CWEs yang dimasukkan, sehingga bobot eksploit dan dampak default sebesar 5.0 dimasukkan dalam skor mereka.
  • A07:2021-Identification and Authentication Failures sebelumnya disebut Broken Authentication dan turun dari posisi kedua, dan kini termasuk CWEs yang lebih terkait dengan kegagalan identifikasi. Kategori ini tetap menjadi bagian penting dari Top 10, tetapi ketersediaan yang meningkat dari kerangka kerja yang standard terlihat membantu.
  • A08:2021-Software and Data Integrity Failures adalah kategori baru untuk tahun 2021, dengan fokus pada membuat asumsi terkait dengan pembaruan perangkat lunak, data kritis, dan pipa CI/CD tanpa memverifikasi integritas. Salah satu dampak tertinggi yang terpeta dari data Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) kepada sepuluh CWEs dalam kategori ini. Insecure Deserialization dari tahun 2017 kini bagian dari kategori ini yang lebih luas.
  • A09:2021-Security Logging and Monitoring Failures sebelumnya disebut Insufficient Logging & Monitoring dan ditambahkan dari survei industri (#3), naik dari peringkat #10 sebelumnya. Kategori ini diperluas untuk mencakup lebih banyak jenis kegagalan, sulit untuk diuji, dan tidak terwakili baik dalam data CVE/CVSS. Namun, kegagalan dalam kategori ini dapat langsung mempengaruhi keterlihatan, pengingat insiden, dan forensik.
  • A10:2021-Server-Side Request Forgery ditambahkan dari survei komunitas Top 10 (#1). Data menunjukkan tingkat kejadian yang relatif rendah dengan penutupan pengujian di atas rata-rata, serta peringkat di atas rata-rata untuk potensi eksploit dan dampak. Kategori ini mewakili skenario di mana anggota komunitas keamanan memberitahu kami bahwa hal ini penting, meskipun tidak terilustrasikan dalam data saat ini.

Broken Access Control

• Contoh praktis dari kendali akses yang rusak
• Kendali akses aman dan praktik terbaik

Cryptographic Failures

• Analisis terperinci tentang kegagalan kriptografi seperti algoritma enkripsi yang lemah atau manajemen kunci yang tidak benar
• Pentingnya mekanisme kriptografi yang kuat, protokol aman (SSL/TLS), dan contoh kriptografi modern dalam keamanan web

Injection Attacks

• Analisis rinci tentang SQL, NoSQL, OS, dan injeksi LDAP
• Teknik mitigasi menggunakan pernyataan siap, kueri parameterisasi, dan pengelauan masukan

Insecure Design

• Penjelajahan kelemahan desain yang dapat menyebabkan kerentanan, seperti validasi masukan yang tidak benar
• Strategi untuk arsitektur aman dan prinsip desain aman

Security Misconfiguration

• Contoh dunia nyata dari konfigurasi yang salah
• Langkah-langkah untuk mencegah konfigurasi yang salah, termasuk manajemen konfigurasi dan alat otomatisasi

Vulnerable and Outdated Components

• Mengidentifikasi risiko penggunaan pustaka dan kerangka kerja yang rentan
• Praktik terbaik untuk manajemen dan pembaruan dependensi

Identification and Authentication Failures

• Masalah autentikasi umum
• Strategi autentikasi aman, seperti autentikasi faktor multi dan penanganan sesi yang benar

Software and Data Integrity Failures

• Fokus pada masalah seperti pembaruan perangkat lunak yang tidak dapat diandalkan dan pemalsuan data
• Mekanisme pembaruan yang aman dan pengecekan integritas data

Security Logging and Monitoring Failures

• Pentingnya melacak informasi keamanan dan memantau aktivitas yang mencurigakan
• Alat dan praktik untuk logging dan pemantauan waktu nyata yang baik untuk mendeteksi pelanggaran dengan cepat

Server-Side Request Forgery (SSRF)

• Penjelasan tentang bagaimana penyerang memanfaatkan kerentanan SSRF untuk mengakses sistem internal
• Taktik mitigasi, termasuk validasi masukan yang benar dan konfigurasi firewall

Best Practices and Secure Coding

• Diskusi komprehensif tentang praktik terbaik untuk penulisan kode aman
• Alat untuk deteksi kerentanan

Ringkasan dan Langkah Selanjutnya