Panduan lengkap OWASP Top 10 2021: Broken Access Control, Cryptographic Failures, Injection, Insecure Design, dan lainnya.
OWASP (Open Web Application Security Project) adalah organisasi non-profit yang fokus pada keamanan aplikasi web. OWASP Top 10 adalah daftar 10 risiko keamanan aplikasi web paling kritis yang diperbarui secara berkala. Versi terbaru (2021) menjadi standar industri untuk security assessment.
Kegagalan membatasi akses pengguna ke resource/fungsi. Termasuk: bypass CORS, forced browsing, IDOR, privilege escalation. Dampak: pengguna bisa mengakses, mengubah, atau menghapus data milik pengguna lain.
Dulu "Sensitive Data Exposure". Kegagalan melindungi data sensitif dengan kriptografi yang tepat. Termasuk: transmisi plaintext, algoritma lemah (MD5, SHA1), key management buruk, tidak pakai HTTPS.
Serangan injeksi terjadi saat data tidak tepercaya dikirim ke interpreter sebagai perintah/query. Termasuk: SQLi, Command Injection, LDAP Injection, NoSQL Injection. Masih sangat umum meskipun sudah dikenal lama.
Kategori baru yang fokus pada risiko terkait desain arsitektur. Termasuk: missing security controls, threat modeling tidak dilakukan, insecure design patterns.
Kesalahan konfigurasi yang membuka celah keamanan: default credentials, verbose error messages, directory listing enabled, unnecessary features enabled, cloud storage misconfiguration.
Menggunakan komponen/library/framework yang sudah usang atau memiliki CVE dikenal. Sangat umum karena dependency management yang buruk.
Kelemahan dalam sistem autentikasi: password lemah, session management buruk, missing rate limiting, credential stuffing.
Kegagalan memverifikasi integritas software/data: insecure CI/CD pipeline, insecure deserialization, auto-update tanpa verifikasi signature.
Kurangnya logging dan monitoring: serangan tidak terdeteksi, audit trail tidak ada, alerting tidak berfungsi.
Baru masuk Top 10. SSRF memungkinkan penyerang memaksa server mengirim request ke lokasi internal/eksternal yang tidak seharusnya diakses.
Selain Top 10, OWASP menyediakan Testing Guide (WSTG) — metodologi komprehensif untuk penetration testing web app dengan ratusan test case.
Application Security Verification Standard — standar untuk verifikasi keamanan aplikasi dengan 3 level: Level 1 (basic), Level 2 (standard), Level 3 (advanced).