OWASP Top10


Saya akan lanjutkan sharing tentang materi pada CYSE2014. Hari ini saya akan lanjutkan cerita tentang presentasi pak Andika. Beliau cerita tentang OWASP Top10. OWASP (The Open Web Application Security Project) merupakan organisasi/komunitas terbuka yang fokus di bidang Keamanan Aplikasi.  OWASP melakukan penelitian dan mensosialisasikan hasilnya untuk meningkatkan kesadaran akan keamanan aplikasi. OWASP memiliki beberapa project diantaranya WebGoat, Webscarab dan OWASP top10. OWASP Top10 merupakan dokumen yang merangkum 10 celah keamanan pada aplikasi yang paling berbahaya saat ini. Dengan adanya dokumen ini diharapkan pengembang aplikasi dapat memahami 10 celah keamanan ini dan mencegah timbulnya 10 masalah ini pada aplikasinya.

owasp top10

OWASP top 10 telah ada sejak tahun 2003, kemudian ada versi 2004, 2007, 2010 dan 2013.  Untuk 2013 list 10 celah keamanannya adalah:

A1. Injection

A2. Broken Authentication and Session Management

A3. Cross-Site Scripting (XSS)

A4. Insecure Direct Object References

A5. Security Misconfiguration

A6. Sensitive Data Exposure

A7. Missing Level Access Control

A8. Cross Site Request Forgery (CSRF)

A9. Using Known Vulnerable Components

A10. Unvalidated Redirects and Forwards

Untuk list 2013 ini, point A9 belum ada pada list top 10 tahun 2010. Selain itu ada 3 perubahan urutan, ada 1 point yang diperluas serta ada 2 point yang digabungkan. Penyusunan ranking ini menggunakan metoda risk rating. Jadi yang memiliki peringkat 1 adalah yang memiliki resiko keamanan paling tinggi. Aspek yang diperhatikan dalam menghitung resiko keamanan adalah Attack Vector, Weakness Prevalence, Weakness Detectability, Technical Impact and business Impact. Masing-masing aspek tersebut diberi skor dan level (mudah, menengah , susah dll), sehingga akhirnya didapatkan skor yang menentukan urutan rangking dari resiko tadi. Penjelasan lebih lanjut tentang point OWASP top 10 akan saya lanjutkan pada tulisan berikutnya …


Silahkan tuliskan tanggapan, kritik maupun saran