OWASP Top 10 Training Course

Perkenalan

• Tinjauan umum OWASP, tujuan, dan pentingnya dalam keamanan web
• Penjelasan Daftar OWASP Top 10
  • A01:2021-Kontrol Rusak Access naik dari posisi kelima; 94% aplikasi diuji untuk beberapa bentuk kontrol akses yang rusak. 34 Common Weakness Enumerations (CWE) yang dipetakan ke Kontrol Rusak Access memiliki lebih banyak kejadian dalam aplikasi daripada kategori lainnya.
  • A02:2021-Kegagalan Kriptografi naik satu posisi ke #2, yang sebelumnya dikenal sebagai Pemaparan Data Sensitif, yang merupakan gejala umum dan bukan akar penyebabnya. Fokus baru di sini adalah pada kegagalan yang terkait dengan kriptografi yang sering kali menyebabkan pemaparan data sensitif atau kompromi sistem.
  • A03:2021-Injeksi turun ke posisi ketiga. 94% aplikasi diuji untuk beberapa bentuk injeksi, dan 33 CWE yang dipetakan ke dalam kategori ini memiliki kejadian terbanyak kedua dalam aplikasi. Cross-site Scripting kini menjadi bagian dari kategori ini dalam edisi ini.
  • A04:2021-Desain Tidak Aman merupakan kategori baru untuk tahun 2021, dengan fokus pada risiko yang terkait dengan kelemahan desain. Jika kita benar-benar ingin "bergerak ke kiri" sebagai sebuah industri, maka diperlukan lebih banyak penggunaan pemodelan ancaman, pola dan prinsip desain yang aman, dan arsitektur referensi.
  • A05:2021-Kesalahan Konfigurasi Keamanan naik dari #6 pada edisi sebelumnya; 90% aplikasi diuji untuk beberapa bentuk kesalahan konfigurasi. Dengan lebih banyak peralihan ke perangkat lunak yang sangat dapat dikonfigurasi, tidak mengherankan melihat kategori ini naik. Kategori sebelumnya untuk XML Entitas Eksternal (XXE) sekarang menjadi bagian dari kategori ini.
  • A06:2021-Komponen Rentan dan Kedaluwarsa sebelumnya berjudul Menggunakan Komponen dengan Kerentanan yang Diketahui dan berada di peringkat #2 dalam survei komunitas Top 10, tetapi juga memiliki cukup data untuk masuk ke Top 10 melalui analisis data. Kategori ini naik dari peringkat #9 pada tahun 2017 dan merupakan masalah umum yang sulit kami uji dan nilai risikonya. Ini adalah satu-satunya kategori yang tidak memiliki Kerentanan dan Paparan Umum (CVE) yang dipetakan ke CWE yang disertakan, jadi eksploitasi default dan bobot dampak 5.0 diperhitungkan dalam skornya.
  • A07:2021-Kegagalan Identifikasi dan Autentikasi sebelumnya adalah Autentikasi Rusak dan turun dari posisi kedua, dan kini mencakup CWE yang lebih terkait dengan kegagalan identifikasi. Kategori ini masih menjadi bagian integral dari Top 10, tetapi peningkatan ketersediaan kerangka kerja standar tampaknya membantu.
  • A08:2021-Kegagalan Integritas Perangkat Lunak dan Data merupakan kategori baru untuk tahun 2021, yang berfokus pada pembuatan asumsi terkait pembaruan perangkat lunak, data penting, dan jalur CI/CD tanpa memverifikasi integritas. Salah satu dampak tertimbang tertinggi dari data Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) dipetakan ke 10 CWE dalam kategori ini. Deserialisasi Tidak Aman dari tahun 2017 kini menjadi bagian dari kategori yang lebih besar ini.
  • A09:2021-Kegagalan Pencatatan dan Pemantauan Keamanan sebelumnya adalah Pencatatan & Pemantauan yang Tidak Memadai dan ditambahkan dari survei industri (#3), naik dari #10 sebelumnya. Kategori ini diperluas untuk mencakup lebih banyak jenis kegagalan, sulit untuk diuji, dan tidak terwakili dengan baik dalam data CVE/CVSS. Namun, kegagalan dalam kategori ini dapat secara langsung memengaruhi visibilitas, peringatan insiden, dan forensik.
  • A10:2021-Server-Side Request Forgery ditambahkan dari survei komunitas Top 10 (#1). Data menunjukkan tingkat kejadian yang relatif rendah dengan cakupan pengujian di atas rata-rata, beserta peringkat di atas rata-rata untuk potensi Exploit dan Impact. Kategori ini menggambarkan skenario saat anggota komunitas keamanan memberi tahu kami bahwa ini penting, meskipun saat ini tidak diilustrasikan dalam data.

Rusak Access Kontrol

• Contoh praktis kontrol akses yang rusak
• Kontrol akses aman dan praktik terbaik

Kegagalan Kriptografi

• Analisis terperinci tentang kegagalan kriptografi seperti algoritma enkripsi yang lemah atau manajemen kunci yang tidak tepat
• Pentingnya mekanisme kriptografi yang kuat, protokol aman (SSL/TLS), dan contoh kriptografi modern dalam keamanan web

Serangan Injeksi

• Rincian rinci tentang injeksi SQL, NoSQL, OS, dan LDAP
• Teknik mitigasi menggunakan pernyataan yang telah disiapkan, kueri berparameter, dan masukan yang lolos

Desain Tidak Aman

• Menjelajahi kelemahan desain yang dapat menyebabkan kerentanan, seperti validasi input yang tidak tepat
• Strategi untuk arsitektur aman dan prinsip desain aman

Kesalahan Konfigurasi Keamanan

• Contoh kesalahan konfigurasi di dunia nyata
• Langkah-langkah untuk mencegah kesalahan konfigurasi, termasuk manajemen konfigurasi dan alat otomatisasi

Komponen yang Rentan dan Ketinggalan Zaman

• Mengidentifikasi risiko penggunaan pustaka dan kerangka kerja yang rentan
• Praktik terbaik untuk manajemen ketergantungan dan pembaruan

Kegagalan Identifikasi dan Autentikasi

• Masalah otentikasi umum
• Strategi autentikasi yang aman, seperti autentikasi multifaktor dan penanganan sesi yang tepat

Kegagalan Perangkat Lunak dan Integritas Data

• Fokus pada masalah seperti pembaruan perangkat lunak yang tidak tepercaya dan pemalsuan data
• Mekanisme pembaruan yang aman dan pemeriksaan integritas data

Kegagalan Pencatatan dan Pemantauan Keamanan

• Pentingnya pencatatan informasi yang relevan dengan keamanan dan pemantauan aktivitas yang mencurigakan
• Alat dan praktik untuk pencatatan yang tepat dan pemantauan waktu nyata untuk mendeteksi pelanggaran sejak dini

Pemalsuan Permintaan Sisi Server (SSRF)

• Penjelasan tentang bagaimana penyerang mengeksploitasi kerentanan SSRF untuk mengakses sistem internal
• Taktik mitigasi, termasuk validasi input dan konfigurasi firewall yang tepat

Praktik Terbaik dan Pengkodean Aman

• Diskusi komprehensif tentang praktik terbaik untuk pengkodean yang aman
• Alat untuk deteksi kerentanan

Ringkasan dan Langkah Berikutnya