OWASP
OWASP is The Open Web
Application Security Project adalah sebuah komunitas terbuka yang bertujuan
untuk memberdayakan organisasi mengambangkan, membeli dan memelihara aplikasi yang
dapat dipercaya keamanannya.
OWASP melakukan
pendekatan dengan mendefinisikan keamanan aplikasi sebagai manusia, proses dan
teknologi (people, process and technology), karena perbaikan pada ranah
tersebut dapat meningkatkan efektivitas keamanan aplikasi.
Tujuan OWASP dengan
ASVS nya (Proyek Standard Verifikasi Keamanan Aplikasi OWASP) adalah
menormalkan rentang cakupan dan tingkat kerentanan yang tersedia di pasar soal
verifikasi aplikasi web menggunakan standar terbuka yang tetap bisa diterapkan
secara komersial. Standar ini memberikan dasar pengujian aplikasi secara
teknis.
OWASP ASVS
mendefinisikan persyaratan verifikasi dan dokumentasi dikelompokkan berdasarkan
cakupan yang terkait dan tingkat vulnerabilitynya.
Level Verifikasi
Keamanan Aplikasi OWASP
- Level
1 Verifikasi Otomatis
- Level
2 Verifikasi Manual
- Level
3 Verifikasi Desain
- Level
4 Verifikasi Internal
Persyaratan
Verifikasi Terperinci OWASP
- Persyaratan
Dokumentasi Arsitektur Keamanan
- Persyaratan
Verifikasi Otentifikasi
- Persyaratan
Verifikasi Manajemen Sesi
- Persyaratan
Verifikasi Kontrol Akses
- Persyaratan
Verifikasi Validasi Input
- Persyaratan
Verifikasi Pengkodean Keluaran
- Persyaratan
Verifikasi Kriptografi
- Persyaratan
Verifikasi Penanganan dan Pencatatan Error
- Persyaratan
Verifikasi Proteksi Data
- Persyaratan
Verifikasi Keamanan Komunikasi
- Persyaratan
Verifikasi Keamanan HTTP
- Persyaratan
Verifikasi Konfigurasi Keamanan
- Persyaratan
Verifikasi Pencarian Kode Berbahaya
- Persyaratan
Verifikasi Keamanan Internal
VULNERABILITY
- Cross-Site
Scripting adalah suatu metode untuk
mengeksploitasi sistem.
- SQL
Injection adalah salah satu cara menscanning
kelemahan web dengan memasukkan script php.
- Denial
of Service adalah suatu kondisi dimana sistem
dibanjiri oleh request yang menyebabkan server down.
- Local
File Inclusion adalah kelemahan aplikasi web yang
menyebabkan attacker dapat mengeksploitasi engine yang digunakan, atau Web
Server dengan mengakses direktori dan mengeksekusi command di luar root
web server.
- Remote
File Inclusion, bila Local File Inclusion dilakukan
secara lokal dari web server tersebut, maka remote dilakukan dengan
meremote menyisipkan script php dari luar ke dalam sistem.
Cybercrime Case
Website for Tour
Company Citysights NY hit by Hackers menggunakan SQL injection.
Hackers telah
menghancurkan website Perusahaan Wisata CitySights NY New York dan mencuri
kurang lebih 110.000 nomor rekening bank.
Mereka (hacker)
membobol menggunakan serangan SQL Injection atas Web Server perusahaan tersebut
(disampaikan pada tanggal 9 Desember).
Perusahaan mempelajari
kasus ini pada akhir oktober, saat programmer menemukan script yang tidak sah
terupload di Web Server dan dicurigai membahayakan keamanan database server.
CitySight NY
meyakini, bahwa serangan SQL Injection lah yang terjadi pada tanggal 26 September.
Dalam SQL Injection, hacker menemukan cara untuk menyelinap masuk dengan
perintah-perintah masuk ke dalam server menggunakan Web. Mereka melakukan ini
dengan memasukkan script ke form atau kotak yang digunakan untuk mengquery
database.
Pada kasus CitySight
Ny ini, hacker mendapatkan nama, alamat, alamat email, nomor kartu kredit dan
tanggal kadaluarsanya, sekaligus kartu verifikasi nilai 2 kode untuk
memvalidasi kredit jual beli secara online.
Sumber Referensi :
0 komentar:
Posting Komentar