Sosialisasi Security Awareness

TOP 10 KATEGORI SERANGAN SIBER PADA APLIKASI  BERBASIS WEB

Serangan siber adalah upaya jahat yang dilakukan oleh pelaku kejahatan siber untuk mendapatkan akses tidak sah ke sistem komputer, jaringan, atau perangkat digital. Tujuan serangan siber tersebut adalah untuk mencuri, mengubah, menonaktifkan, mengekspos, atau menghancurkan data, aplikasi, atau aset lainnya. Saat ini banyak sekali jenis serangan siber yang terjadi di dunia maya, berikut Top 10 Serangan Siber pada Aplikasi berbasis Web

• SQL Injection 

Serangan injeksi SQL menggunakan Structured Query Language (SQL) untuk mengirimkan perintah berbahaya ke database backend situs web atau aplikasi. Peretas memasukkan perintah melalui bidang yang berhadapan dengan pengguna seperti bilah pencarian dan jendela login. Perintah tersebut kemudian diteruskan ke database, memintanya untuk mengembalikan data pribadi seperti nomor kartu kredit atau detail pelanggan

• Broken Authentication & Session Management 

kerentanan keamanan aplikasi web yang memungkinkan pengguna tak sah untuk mengakses sistem. Kerentanan ini terjadi ketika mekanisme autentikasi dan manajemen sesi tidak diterapkan dengan benar. 

Manajemen sesi adalah tingkat kontrol dan keamanan tambahan yang menetapkan batas waktu pada apa yang dapat diakses admin untuk sesi tertentu

• XSS (cross-site scripting)

Serangan cross-site scripting (XSS) memasukkan kode berbahaya ke halaman web atau aplikasi web yang sah. Saat pengguna mengunjungi situs atau aplikasi, kode secara otomatis berjalan di browser web pengguna, biasanya mencuri informasi sensitif atau mengalihkan pengguna ke situs web palsu dan berbahaya. Penyerang sering menggunakan JavaScript untuk serangan XSS

• Insecure Direct Object reference

Insecure Direct Object References atau IDOR merupakan sebuah kerentanan keamanan yang disebabkan adanya broken authorization atau lemahnya autorisasi pada suatu sistem. Kerentanan ini akan muncul di saat aplikasi menggunakan input dari user untuk mengakses objek pada sistem secara langsung. Bersamaan dengan gagalnya aplikasi dalam melakukan authorization terhadap user access control, maka hal tersebut memungkinkan user dapat mengakses dan membuat perubahan pada data user lain yang ada dalam sistem. 

• Security Misconfiguration

Security misconfiguration atau kesalahan konfigurasi keamanan adalah kerentanan keamanan yang bisa muncul saat mengonfigurasi aplikasi, situs web, atau server. Kerentanan ini bisa terjadi karena beberapa hal, seperti: Pengaturan keamanan tidak didefinisikan secara memadai, Pengaturan keamanan dibiarkan default, Pengaturan keamanan dikonfigurasi secara tidak akurat, Alat keamanan tidak dikonfigurasi dengan benar. Kesalahan konfigurasi keamanan bisa berdampak serius, seperti: Mencuri data sensitif, Membahayakan seluruh sistem, Menghentikan bisnis dari beroperasi. 

• Sensitive Data Exposure 

Sensitive data exposure atau paparan data sensitif adalah kondisi ketika informasi sensitif secara tidak sengaja atau disengaja terekspos kepada pihak yang tidak berwenang. Data sensitif adalah informasi yang bersifat rahasia dan hanya boleh diakses oleh pengguna yang berwenang

• Missing function Level Access 

Missing Function Level Access (MFLAC) atau Kontrol Akses Tingkat Fungsi yang Hilang adalah kerentanan keamanan yang terjadi ketika tidak ada pengecekan akses atau otorisasi untuk fitur atau fungsi dalam suatu aplikasi. Kerentanan ini termasuk salah satu kerentanan teratas yang tercantum dalam daftar 10 OWASP. 

Kerentanan ini memungkinkan pengguna untuk mengakses sumber daya atau menjalankan fungsi yang seharusnya dibatasi. Penyerang dapat memanfaatkan kerentanan ini untuk meningkatkan hak istimewa dan mengakses fitur yang terbatas. Misalnya, fitur administrator yang terbatas sering menjadi target serangan ini. Penyerang biasanya adalah pengguna sistem yang sudah terautentikasi dan mengubah parameter fungsi berhak istimewa untuk mengirim permintaan yang rusak untuk akses admin yang tidak sah.

• Cross Site Request Forgery

CSRF (Cross Site Request Forgery) merupakan sebuah serangan eksploitasi web yang membuat pengguna tanpa sadar mengirim sebuah permintaan atau request ke website melalui website yang sedang digunakan saat itu. Dari situ aplikasi web akan mengeksekusi request tersebut yang sebenarnya bukan keinginan dari pengguna. 

Oknum yang tidak bertanggung jawab ini biasanya menyematkan link pada sebuah gambar atau yang lain. Apabila kamu tidak sengaja mengklik, maka akan dibawa pada sebuah web yang mengandung malicious code atau kode berbahaya. Kode ini dirancang sedemikian rupa sehingga pengguna tidak perlu lagi melakukan aksi lanjutan agar CSRF berhasil karena hanya membutuhkan satu kali klik saja. Maka dari itu, CSRF juga sering disebut one click attack.

• Using Component with Know Vurnerabilities 

Using Component with Known Vulnerabilities adalah praktik penggunaan komponen perangkat lunak yang memiliki celah keamanan yang sudah diketahui. Praktik ini dapat berdampak signifikan terhadap keamanan sistem dan data. 

 

• Unvalidated redirect & Forward 

Unvalidated redirect and forward atau pengalihan dan penerusan yang tidak divalidasi adalah kerentanan keamanan aplikasi web yang memungkinkan penyerang mengalihkan pengguna ke situs berbahaya. Kerentanan ini termasuk salah satu dari 10 risiko keamanan paling berbahaya untuk aplikasi web. Pengalihan dan penerusan yang tidak divalidasi terjadi ketika aplikasi web tidak melakukan validasi terhadap nilai yang diberikan pengguna untuk URL target. Penyerang dapat mengambil seluruh URL dari input pengguna atau menggunakan data input sebagai bagian dari URL tujuan. 

Penyerang dapat memanfaatkan kerentanan ini untuk mengalihkan korban ke situs phishing atau malware. Penyerang dapat mengirim URL yang mengalihkan korban dari domain yang sah ke situs phishing milik penyerang. Kerentanan ini mengeksploitasi kepercayaan pengguna terhadap domain yang sah. Karena korban umumnya tidak menyadari pengalihan URL, mereka lebih rentan terhadap serangan phishing dan rekayasa sosial

Oleh : Yuniarti Lailatul Khomsiatin, A.Md

(sumber OWASP top ten)