Di bawah ini Anda akan menemukan daftar top 10 kerentanan web diklasifikasikan oleh OWASP, di sini juga deskripsi dari masalah dan beberapa contoh.
Saya hanya akan memberi Anda daftar jika anda tidak terjawab itu sebelumnya, saya tidak akan mengomentari ini sebagai salah satu sudah ada diskusi panas mengenai hal ini di beberapa situs / forum.
Jadi penyebab / alasan tersebut adalah :
1. Cross site scripting (XSS)
kerentanan keamanan aplikasi Web, kelemahan XSS terjadi ketika aplikasi mengirim data pengguna ke web browser tanpa terlebih dahulu validasi atau pengkodean konten. Hal ini memungkinkan hacker jahat mengeksekusi skrip di browser, membiarkan mereka membajak sesi pengguna, situs Web merusak, konten masukkan bermusuhan dan melakukan phishing dan serangan malware.
Serangan biasanya dilakukan dengan JavaScript, membiarkan hacker memanipulasi segala aspek dari halaman. Dalam skenario terburuk, hacker bisa mencuri informasi dan berkedok sebagai pengguna di situs Web sebuah bank, menurut Snyder.
Dunia nyata contoh: PayPal menjadi sasaran tahun lalu ketika penyerang PayPal pengunjung diarahkan ke halaman peringatan pengguna account mereka telah terbongkar. Korban diarahkan ke situs phishing dan diminta untuk memasukkan informasi login PayPal, nomor Jaminan Sosial dan rincian kartu kredit. PayPal mengatakan menutup kerentanan pada bulan Juni 2006.
Bagaimana melindungi pengguna: Gunakan daftar putih untuk memvalidasi semua data yang masuk, yang menolak setiap data yang tidak ditentukan pada daftar putih sebagai yang baik. Pendekatan ini adalah kebalikan dari daftar hitam, yang menolak masukan hanya diketahui buruk. Selain itu, menggunakan pengkodean yang tepat semua data keluaran. “Validasi memungkinkan deteksi serangan, dan pengkodean mencegah setiap injeksi skrip sukses dari berjalan di browser,” kata OWASP.
2. Injection flaws
Masalah: Bila data yang disediakan pengguna akan dikirim ke penerjemah sebagai bagian dari perintah atau query, trik hacker penafsir – yang menafsirkan perintah berbasis teks – dalam menjalankan perintah yang tidak diinginkan. “Kekurangan Injeksi memungkinkan penyerang untuk menciptakan, membaca, memperbarui, atau menghapus data yang sewenang-wenang yang tersedia untuk aplikasi,” tulis OWASP. “Dalam skenario terburuk, kekurangan ini memungkinkan seorang penyerang untuk sepenuhnya kompromi aplikasi dan sistem yang mendasari, bahkan melewati firewall lingkungan sangat bersarang.”
Dunia nyata contoh: hacker Rusia pecah menjadi pemerintah Rhode Island situs Web untuk mencuri data kartu kredit pada bulan Januari 2006. Hacker mengklaim serangan injeksi SQL mencuri 53.000 nomor kartu kredit, sedangkan penyedia layanan hosting klaim itu hanya 4.113.
Bagaimana melindungi pengguna: interpreter menggunakan Hindari jika memungkinkan. “Jika Anda harus memanggil seorang juru bahasa, metode kunci untuk menghindari suntikan adalah penggunaan API yang aman, seperti parameter query strongly typed dan pemetaan relasional obyek perpustakaan,” tulis OWASP….
3. Malicious file execution
Masalah: Hacker dapat melakukan eksekusi kode jauh, instalasi jarak jauh rootkit, atau benar-benar kompromi sistem. Setiap jenis aplikasi Web adalah rentan jika menerima nama file atau file dari pengguna. kerentanan mungkin yang paling umum dengan PHP, bahasa scripting banyak digunakan untuk pengembangan Web.
Dunia nyata contoh: Seorang programmer remaja ditemukan pada tahun 2002 yang Tebak com adalah rentan terhadap serangan yang bisa mencuri lebih dari 200.000 data pelanggan dari database Guess, termasuk nama, nomor kartu kredit dan tanggal kadaluwarsa.. Tebak setuju untuk meningkatkan keamanan informasi pada tahun depan setelah diselidiki oleh Federal Trade Commission.
Bagaimana melindungi pengguna: Jangan menggunakan input yang diberikan oleh pengguna dalam setiap nama berkas sumber daya berbasis server, seperti gambar dan inklusi script. Set aturan firewall untuk mencegah koneksi baru ke situs Web eksternal dan sistem internal.
4. Insecure direct object reference
Masalah: Penyerang memanipulasi referensi objek langsung untuk mendapatkan akses tidak sah ke objek lain. Hal ini terjadi ketika URL atau bentuk parameter berisi referensi ke objek seperti file, direktori, catatan database atau kunci.
Perbankan situs Web biasa menggunakan nomor account pelanggan sebagai kunci utama, dan mungkin mengekspos nomor rekening di antarmuka web.
“Referensi untuk kunci database sering terkena,” tulis OWASP. “Seorang penyerang dapat menyerang parameter ini hanya dengan menebak atau mencari kunci lain yang valid. Seringkali, ini adalah sequen-TiAl di alam. ”
Dunia nyata contoh: Sebuah situs Australian Taxation Office hacked pada tahun 2000 oleh seorang pengguna yang berubah hadiah ID pajak di URL untuk mengakses rincian 17.000 perusahaan. hacker e-mail yang 17.000 usaha untuk memberitahu mereka tentang pelanggaran keamanan.
Bagaimana melindungi pengguna: Gunakan indeks, peta referensi tidak langsung atau tidak langsung metode lain untuk menghindari paparan referensi objek langsung. Jika Anda tidak dapat menghindari referensi langsung, wewenang pengunjung situs Web sebelum menggunakannya.
5. Cross site request forgery
Masalah: “Sederhana dan menghancurkan,” serangan ini mengambil kontrol browser korban ketika login ke sebuah situs Web, dan mengirimkan permintaan berbahaya untuk aplikasi Web. situs Web ini sangat rentan, sebagian karena mereka cenderung untuk mengotorisasi permintaan berdasarkan session cookies atau “ingat saya” fungsionalitas. Bank tar potensial-TiAl-akan.
“Sembilan puluh sembilan persen dari aplikasi di Internet rentan untuk menyeberang pemalsuan situs permintaan,” kata Williams. “Apakah ada aktual mengeksploitasi mana seseorang kehilangan uang? Prob-a-Bly bank bahkan tidak tahu. Untuk bank, semua itu tampak seperti adalah transaksi yang sah dari log-in pengguna. ”
Dunia nyata contoh: Seorang hacker dikenal sebagai Samy mendapatkan lebih dari satu juta “teman” di MySpace com dengan cacing pada akhir tahun 2005, secara otomatis termasuk pesan “Samy adalah pahlawan saya” dalam ribuan halaman MySpace.. Serangan itu sendiri tidak mungkin telah yang berbahaya, tapi dikatakan untuk menunjukkan kekuatan menggabungkan scripting lintas situs dengan pemalsuan permintaan lintas situs. Contoh lain yang terungkap satu tahun yang lalu terkena kerentanan Google memungkinkan situs luar untuk mengubah preferensi bahasa pengguna Google.
Bagaimana melindungi pengguna: Jangan mengandalkan kredensial atau token secara otomatis disampaikan oleh browser. “Satu-satunya solusi adalah dengan menggunakan tanda khusus bahwa browser tidak akan ‘ingat,’” OWASP menulis.
6. Information leakage and improper error handling
Masalah: Pesan kesalahan bahwa aplikasi menghasilkan dan menampilkan kepada pengguna adalah berguna untuk hacker ketika mereka melanggar privasi atau tidak sengaja membocorkan informasi tentang konfigurasi program dan kerja internal.
“Aplikasi Web akan sering membocorkan informasi tentang keadaan internal mereka melalui pesan kesalahan rinci atau debug. Sering kali, informasi ini dapat dimanfaatkan untuk memulai atau bahkan mengotomatisasi serangan lebih kuat, “kata OWASP.
Dunia nyata contoh: Informasi kebocoran melampaui error handling, berlaku juga untuk pelanggaran terjadi ketika data rahasia yang tersisa di depan mata. The bencana ChoicePoint pada awal tahun 2005 sehingga jatuh di suatu tempat di kategori ini. Catatan dari 163.000 konsumen terganggu setelah penjahat berpura-pura menjadi pelanggan sah ChoicePoint dicari rincian tentang individu yang terdaftar dalam database perusahaan informasi pribadi. ChoicePoint kemudian terbatas penjualan produk informasi berisi data sensitif.
Bagaimana melindungi pengguna: Gunakan alat pengujian seperti OWASP’S WebScarab Proyek untuk melihat apa kesalahan aplikasi Anda menghasilkan. “Aplikasi yang belum diuji dengan cara ini akan hampir pasti menghasilkan keluaran error yang tidak terduga,” tulis OWASP.
7. Broken authentication and session management
Masalah: Pengguna dan rekening administratif bisa dibajak ketika aplikasi gagal untuk melindungi kepercayaan dan token sesi dari awal hingga akhir. Watch out for pelanggaran privasi dan merusak kontrol otorisasi dan akuntabilitas.
“Kesalahan dalam mekanisme otentikasi utama yang tidak biasa, tetapi kelemahan lebih sering diperkenalkan melalui fungsi otentikasi tambahan seperti logout, manajemen password, timeout, ingat saya, pertanyaan rahasia dan memperbarui account,” tulis OWASP.
Dunia nyata contoh: Microsoft harus menghilangkan kerentanan di Hotmail yang bisa membiarkan programmer JavaScript berbahaya mencuri password pengguna pada tahun 2002. Diungkapkan oleh seorang reseller produk-produk jaringan, cacat itu rentan terhadap e-mail yang berisi Trojan mengubah antarmuka pengguna Hotmail, memaksa pengguna untuk berulang kali masuk kembali password mereka dan tanpa disadari mengirimkannya ke hacker.
Bagaimana melindungi pengguna: Komunikasi dan penyimpanan mandat harus aman. Protokol SSL untuk mentransmisikan dokumen pribadi harus menjadi satu-satunya pilihan untuk bagian otentik dari aplikasi, dan mandat harus disimpan dalam bentuk hash atau dienkripsi.
Tip lain: menyingkirkan cookies kustom yang digunakan untuk manajemen otentikasi atau sesi.
8. Insecure cryptographic storage
Masalah: Banyak web developer gagal untuk mengenkripsi data sensitif dalam penyimpanan, walaupun kriptografi adalah bagian penting dari aplikasi web yang paling. Bahkan ketika enkripsi hadir, itu sering kurang didesain, menggunakan cipher tidak pantas.
“Kekurangan ini dapat menyebabkan pengungkapan data sensitif dan pelanggaran kepatuhan,” tulis OWASP.
Dunia nyata contoh: Data TJX pelanggaran yang terkena 45,7 juta nomor kartu kredit dan debit. Penyelidikan pemerintah Kanada disalahkan TJX karena gagal untuk meng-upgrade sistem enkripsi data sebelum itu ditargetkan oleh menguping elektronik mulai pada bulan Juli 2005.
Bagaimana melindungi pengguna: Jangan menciptakan algoritma kriptografi Anda sendiri. “Hanya menggunakan algoritma publik disetujui seperti AES, RSA kriptografi kunci publik, dan SHA-256 atau lebih baik untuk hashing,” saran OWASP.
Selanjutnya, menghasilkan offline kunci, dan tidak pernah mengirimkan kunci privat melalui saluran tidak aman.
9. Insecure communications
Masalah: Serupa dengan No 8, ini adalah kegagalan untuk mengenkripsi lalu lintas jaringan saat itu diperlukan untuk melindungi komunikasi sensitif. Penyerang dapat mengakses percakapan tidak terlindungi, termasuk transmisi dari kepercayaan dan informasi sensitif. Untuk alasan ini, standar PCI memerlukan enkripsi informasi kartu kredit dikirimkan melalui Internet.
Dunia nyata ujian-ple: TJX lagi. Peneliti berpendapat hacker menggunakan antena berbentuk teleskop dan komputer laptop untuk mencuri pertukaran data secara nirkabel antara perangkat harga-pemeriksaan portabel, dan komputer cash register toko, Wall Street Journal melaporkan.
“Jaringan nirkabel pengecer $ 17,4 miliar sudah keamanan kurang dari banyak orang di jaringan rumah mereka,” tulis Journal. TJX menggunakan sistem penyandian WEP, WPA daripada lebih kuat.
Bagaimana melindungi pengguna: Gunakan SSL pada setiap koneksi disahkan atau selama transmisi data sensitif, seperti kredensial pengguna, rincian kartu kredit, catatan kesehatan dan informasi pribadi lainnya. SSL atau protokol enkripsi yang sama juga harus diterapkan kepada klien, mitra, staf dan akses administratif ke sistem online. Menggunakan transportasi lapisan keamanan atau enkripsi protokol tingkat untuk melindungi komunikasi antara bagian dari infrastruktur, seperti server web dan sistem database.
10. Failure to restrict URL access
Masalah: Beberapa halaman web seharusnya terbatas pada sebagian kecil dari pengguna khusus, seperti administrator. Namun sering kali tidak ada perlindungan real dari halaman-halaman, dan hacker dapat menemukan URL dengan membuat dugaan. Katakanlah URL merujuk ke nomor ID seperti “123456.” Seorang hacker mungkin mengatakan mengatakan ‘Aku ingin tahu apa yang ada di 123.457?’ Williams.
Serangan menargetkan kerentanan ini disebut dipaksa browsing, “yang meliputi link menebak dan teknik kekerasan untuk menemukan halaman yang tidak dilindungi,” kata OWASP.
Dunia nyata contoh: Sebuah lubang di Macworld Conference & Expo situs web tahun ini memungkinkan pengguna mendapatkan “Platinum” melewati senilai hampir $ 1.700 dan khusus akses ke sebuah pidato keynote Steve Jobs, semuanya gratis. Cacat yang adalah kode yang hak dievaluasi pada klien tetapi tidak di server, orang-orang membiarkan ambil tiket gratis melalui JavaScript di browser, bukan server.
Bagaimana melindungi pengguna: Jangan mengasumsikan pengguna akan menyadari URL tersembunyi. Semua fungsi URL dan bisnis harus dilindungi oleh suatu mekanisme kontrol akses yang efektif yang memverifikasi peran pengguna dan hak istimewa. “Pastikan ini dilakukan … setiap langkah, tidak hanya sekali terhadap awal dari setiap proses multi-langkah,” saran OWASP.
*
by the why OWASP tu apa..??penasaran kan dari tadi kata di atas ada bnyak kata tentang OWASP…
OWASP adalah Open Web Application Security Project (OWASP) adalah sebuah aplikasi open-source proyek keamanan. Komunitas OWASP meliputi perusahaan, organisasi pendidikan, dan individu dari seluruh dunia. Komunitas ini berfungsi untuk membuat artikel bebas yang tersedia, metodologi, dokumentasi, peralatan, dan teknologi. Yayasan OWASP adalah 501 (c) (3) organisasi amal yang mendukung dan mengelola proyek-proyek OWASP dan infrastruktur.
OWASP tidak berafiliasi dengan perusahaan teknologi, meskipun mendukung penggunaan informasi teknologi keamanan. OWASP memiliki afiliasi dihindari karena percaya kebebasan dari tekanan organisasi mungkin akan mudah untuk itu untuk memberikan bias, praktis, informasi biaya-efektif tentang keamanan aplikasi. [Rujukan?] OWASP pendukung pendekatan keamanan aplikasi dengan memperhatikan orang, proses, dan teknologi dimensi .
dokumen OWASP paling sukses termasuk buku-panjang OWASP Guide dan OWASP luas diadopsi Top 10 dokumen kesadaran [Sunting] OWASP yang paling banyak digunakan alat-alat meliputi pelatihan lingkungan mereka WebGoat, penetrasi pengujian mereka proxy WebScarab, dan mereka OWASP alat BERSIH… OWASP mencakup sekitar 100 mitra lokal di seluruh dunia dan ribuan peserta pada daftar proyek list. OWASP telah menyelenggarakan serangkaian AppSec konferensi untuk lebih membangun komunitas keamanan aplikasi.
OWASP juga merupakan badan standar muncul, dengan penerbitan standar pertama pada Desember 2008, OWASP Keamanan Aplikasi Standar Verifikasi (ASVS). Tujuan utama dari OWASP ASVS proyek ini adalah untuk menormalkan rentang cakupan dan tingkat ketelitian yang tersedia di pasar ketika datang untuk verifikasi keamanan aplikasi-tingkat kinerja. Tujuannya adalah untuk menciptakan satu set standar terbuka komersial-dapat dilaksanakan yang disesuaikan dengan teknologi berbasis web yang spesifik. Sebuah Aplikasi Web Edition telah diterbitkan. Sebuah Web Service Edisi sedang dalam pengembangan.
"
No comments:
Post a Comment