Saya akan lanjutkan sharing tentang materi pada CYSE2014. Hari ini saya akan lanjutkan cerita tentang presentasi pak Andika. Beliau cerita tentang OWASP Top10. OWASP (The Open Web Application Security Project) merupakan organisasi/komunitas terbuka yang fokus di bidang Keamanan Aplikasi. OWASP melakukan penelitian dan mensosialisasikan hasilnya untuk meningkatkan kesadaran akan keamanan aplikasi. OWASP memiliki beberapa project diantaranya WebGoat, Webscarab dan OWASP top10. OWASP Top10 merupakan dokumen yang merangkum 10 celah keamanan pada aplikasi yang paling berbahaya saat ini. Dengan adanya dokumen ini diharapkan pengembang aplikasi dapat memahami 10 celah keamanan ini dan mencegah timbulnya 10 masalah ini pada aplikasinya.
OWASP top 10 telah ada sejak tahun 2003, kemudian ada versi 2004, 2007, 2010 dan 2013. Untuk 2013 list 10 celah keamanannya adalah:
A1. Injection
A2. Broken Authentication and Session Management
A3. Cross-Site Scripting (XSS)
A4. Insecure Direct Object References
A5. Security Misconfiguration
A6. Sensitive Data Exposure
A7. Missing Level Access Control
A8. Cross Site Request Forgery (CSRF)
A9. Using Known Vulnerable Components
A10. Unvalidated Redirects and Forwards
Untuk list 2013 ini, point A9 belum ada pada list top 10 tahun 2010. Selain itu ada 3 perubahan urutan, ada 1 point yang diperluas serta ada 2 point yang digabungkan. Penyusunan ranking ini menggunakan metoda risk rating. Jadi yang memiliki peringkat 1 adalah yang memiliki resiko keamanan paling tinggi. Aspek yang diperhatikan dalam menghitung resiko keamanan adalah Attack Vector, Weakness Prevalence, Weakness Detectability, Technical Impact and business Impact. Masing-masing aspek tersebut diberi skor dan level (mudah, menengah , susah dll), sehingga akhirnya didapatkan skor yang menentukan urutan rangking dari resiko tadi. Penjelasan lebih lanjut tentang point OWASP top 10 akan saya lanjutkan pada tulisan berikutnya …