OWASP singkatan dari Open Web Application Security Project yang dikeluarkan oleh OWASP Foundation sebagai organisasi non-profit amal di Amerika Serikat berdiri pada tahun 2004[1]. OWASP adalah organisasi internasional dan OWASP Foundation mendukung upaya OWASP di seluruh dunia. IKIP PGRI Madiun sebagai salah satu instansi pendidikan sudah mempunyai webserver sendiri sejak tahun 2010.Sebagai salah satu prinsipnya, OWASP memastikan bahwa semua informasi dan materi pembelajarannya bisa diakses dengan mudah dan gratis sehingga semua orang bisa meningkatkan keamanan website mereka. Materi yang mereka sediakan berupa dokumentasi, tools, video, dan forum [2].
Dokumentasi OWASP[edit]
OWASP menyediakan beberapa dokumen untuk membantu para developer membuat website dan aplikasi yang aman. Berikut ini adalah 5 dokumen yang sering disebut-sebut sebagai panduan penting bagi para developer[3].
OWASP Developer Guide[edit]
Pertama kali dirilis lebih dari 15 tahun lalu, OWASP sudah banyak melakukan revisi dari tahun 2014 agar panduannya sesuai untuk jaman sekarang. Guide ini dibuat agar para developer bisa membangun website atau software untuk organisasi mereka dengan menggunakan coding yang memiliki sistem yang aman. Guide ini berisikan prinsip-prinsip yang harus diikuti dalam proses codingnya [4].
OWASP Application Security Verification Standard (ASVS)[edit]
ASVS adalah sebuah daftar persyaratan untuk memberi tahu para developer apakah sebuah aplikasi itu aman untuk digunakan oleh organisasi, vendor, dan customer. ASVS ini sudah dipisahkan ke beberapa level dimana mereka menjelaskan dengan lebih detail untuk berbagai jenis aplikasi dan software. Ada tiga level yang mereka bahas yaitu opportunistic level untuk software umum, standard level untuk aplikasi yang mengandung data sensitif, dan advanced level untuk aplikasi-aplikasi seperti aplikasi rumah sakit, software dan aplikasi bank, website dan software pemerintahan, dan sejenisnya. ASVS bisa dibilang merupakan resource yang dalam untuk keamanan website karena mereka menjelaskan langkah demi langkah [5].
Security Knowledge Framework[edit]
Security Knowledge Framework adalah sebuah tool yang di-desain untuk membantu developer membangun software yang aman. Framework ini dibangun berdasarkan standard ASVS sehingga developer bisa dengan mudah mengerti dan mengimplementasikan persyaratan keamanannya [6].
Developer Cheat Sheet Series[edit]
OWASP berkomitmen untuk membantu meningkatkan security website, mereka ingin menggunakan expertise mereka di bidang keamanan website untuk mengedukasi developer. Salah satu caranya adalah dengan membuat Developer Cheat Sheet Series. Organisasi ini meminta bantuan dari pakar-pakar keamanan website di seluruh dunia untuk membuat guide yang dalam dan lengkap, membahas berbagai kelemahan, protocol keamanan, dan bagaimana mereka ada pada bahasa-bahasa programming terkenal. Cheat sheet ini di desain daengan bentuk bullet points jadi developer bisa mengerti best practices kemanan dan syarat-syaratnya dengan lebih mudah [7].
OWASP Top 10[edit]
OWASP Top 10 adalah sebuah panduan bagi para developers dan security team tentang kelemahan-kelemahan pada web apps yang mudah diserang dan harus segera disiasati.Kelemahan-kelemahan ini memudahkan hacker untuk menanam malware, mencuri data, atau mengambil alih sepenuhnya website atau komputer Anda. OWASP Top 10 ini biasa diupdate secara rutin oleh sebuah tim yang terdiri dari pakar-pakar keamanan website di seluruh dunia. OWASP merekomendasikan perusahaan-perusahaan untuk memperhatikan kesepuluh masalah yang ada pada dokumen ini untuk mengamankan website dan data mereka dari ancaman hacker [8].
Berikut ancaman keamanan website yang ada pada OWASP Top 10 2017 [9]:
a. Injection
b. Broken Authentication
c. Sensitive Data Exposure
d. XML External Entities
e. Broken Access Control
f. Security Misconfiguration
g. Cross Site Scripting
h. Insecure Deserialization
i. Using Components With Known Vulnerabilities
j. Insufficient Logging and Monitoring
https://en.wikipedia.org/wiki/Keamanan_web_server_mengunakan_OWASP
0 komentar:
Posting Komentar