Tugas Kuliah Universitas Budi Luhur
Saat ini, aplikasi web menjadi instrumen kunci untuk bisnis, di hampir setiap sektor, untuk mengelola proses bisnis mereka, yang meliputi manajemen rantai pasokan, manajemen hubungan pelanggan, manajemen karyawan, dll. Dengan penggunaan fasilitas manajemen sesi, aplikasi web dapat dengan mudah menanggapi berbagai permintaan layanan dengan aman dari penggunanya yang berwenang.
Biasanya sesi aplikasi telah diinisialisasi melalui otentikasi pengguna dengan beberapa faktor verifikasi seperti nama pengguna dan kata sandi. Fitur kontrol akses memastikan pembatasan mengakses sumber daya web seperti halaman web, tabel database, dll. Dan ini merupakan konfigurasi keamanan untuk mencegah akses tidak sah dari para penyusup. .Sementara penggunaan aplikasi web dalam mengelola proses bisnis menandai zaman penting dalam sejarah bisnis modern, risiko kerugian telah meningkat, pada saat yang sama, jika keberadaan kerentanan tetap ada dalam aplikasi karena desain dan pengkodean yang ceroboh. selama pengembangannya. Ini terbukti dari daftar OWASP saat ini, Broken Access Control (BAC) telah ditandai sebagai kerentanan peringkat 5 tergantung pada keberadaannya dalam aplikasi web dan konsekuensi yang merugikan [1]. Cacat desain (seperti Validasi Input Tidak Tepat, Pengungkapan Data Sensitif, Kesalahan Konfigurasi Sesi, Dapat Dibaca Direktori, dll.) Di area kontrol akses arsitektur aplikasi web dapat menyebabkan hak akses tingkat tinggi dari pengguna umum atau penyusup ke dalam sistem. Efek eksploitasi melalui kerentanan BAC dapat menyebabkan kerusakan serius pada aplikasi seperti akses tidak sah di bagian privilege administratif, kompromi lengkap aplikasi web, dll.
Tidak mengherankan bahwa kerentanan otentikasi dan kontrol akses terdaftar di antara sepuluh kerentanan teratas dalam daftar OWASP 2017 [2], dan telah ditemukan dalam aplikasi profil tinggi seperti IIS [3] dan WordPress . Analisis eksploitasi untuk beberapa kerentanan tertentu seperti Structured Query Language Injection (SQLi), Cross Site Scripting (XSS), Pemalsuan Permintaan Situs Lintas (CSRF) , Inklusi File Lokal (LFI) [4] ], Remote File Inclusion (RFI) , Pengungkapan File Lokal (LFD) [5], sering ditemukan karena implementasi yang tidak tepat dari otentikasi pengguna dan manajemen sesi aktif yang merupakan salah satu dari dua risiko teratas menurut OWASP [6]] Otentikasi pengguna dan masalah kontrol akses dengan proses pencegahan telah dieksplorasi dalam beberapa penelitian. Sebuah studi yang dilakukan pada SQLi, Broken Authentication, Session Management, dan kerentanan aplikasi web XSS. Penulis membahas analisis masalah tingkat kode dari kelemahan lapisan aplikasi tersebut dan merekomendasikan pedoman bagi pengembang untuk mengamankan aplikasi web . Sebuah penelitian yang dilakukan pada analisis akar penyebab untuk mendeteksi kerentanan Session Management dan Broken Authentication dan solusi yang ditentukan telah diberikan untuk mengurangi serangan berulang aplikasi web . Proses mengidentifikasi kerentanan Otentikasi Rusak, prosedur serangan, dan pedoman yang ditentukan dibahas untuk melindungi sistem berbasis web dari penyusup [7]. Sebuah teknik Nemesis, digunakan untuk mencegah kerentanan kontrol akses dan Eksploitasi masalah Otentikasi pada aplikasi web disajikan dalam makalah ini. Penulis mengimplementasikan Nemesis melalui alat dimana pengembang dapat mengontrol kerentanan yang diberikan dalam waktu singkat. Studi ini menjelaskan jenis masalah Otentikasi Eksploitasi Patah dan serangan Sesi Manajemen aplikasi web. Langkah-langkah pencegahan dari masalah yang diberikan juga diilustrasikan pada akhir penelitian . Perbandingan terperinci antara model Attributed Based Access Control (ABAC) dan model tradisional berbasis peran untuk menunjukkan keunggulan ABAC. Karya ini juga menggambarkan arsitektur logis ABAC dan kebijakan pengamanan yang dapat digunakan dalam keputusan kontrol akses layanan web [8]. Suatu pendekatan memperkenalkan alat transformasi FIX ME UP yang menemukan kesalahan accesscontrol dan menghasilkan perbaikan kandidat yang dievaluasi dengan memeriksa sepuluh aplikasi PHP dunia nyata [9]. Nemesis prototipe diimplementasikan untuk melindungi semua otentikasi yang dikenal dan serangan bypass kontrol akses. Evaluasi mengkonfirmasi bahwa prototipe dapat melindungi aplikasi dunia nyata [10]. Beberapa penelitian lain menjelaskan dan mendekati jenis kebijakan kontrol akses Web. Pendekatan manajemen kebijakan berbasis logika memperkenalkan fokus pada XACML (eXtensible Access Control Markup Language) kebijakan, yang telah menjadi standar untuk menentukan dan menegakkan kebijakan kontrol akses untuk berbagai aplikasi dan layanan dalam teknologi komputasi berbasis web saat ini .
Proses intrusi keamanan telah diperiksa [11]. Peneliti lain telah memfokuskan pada pemodelan dan merancang alat yang memungkinkan beberapa tingkat penilaian keamanan [12]. Alhazmi dan rekan kerja telah mempresentasikan dua model untuk proses penemuan kerentanan menggunakan data untuk Windows 98 dan NT 4.0. Dalam pekerjaan ini difokuskan pada kepadatan cacat pada perangkat lunak yang merupakan kerentanan, menggunakan data dari lima versi Windows dan dua versi Red Hat Linux [13]. Setelah meninjau hal di atas, ditemukan bahwa pekerjaan penelitian yang tidak signifikan telah dilakukan pada kerusakan Kontrol Akses.
https://en.wikipedia.org/wiki/Kerentanan_Broken_Access_Controll_dalam_Aplikasi_Web
- Blogger Comment
- Facebook Comment
Langganan:
Posting Komentar
(
Atom
)
0 komentar:
Posting Komentar