Home Pelajaran Fundamental OWASP Top 10 2021: Panduan Lengkap
Pemula 25 min Fundamental

OWASP Top 10 2021: Panduan Lengkap

Panduan lengkap OWASP Top 10 2021: Broken Access Control, Cryptographic Failures, Injection, Insecure Design, dan lainnya.

OWASP (Open Web Application Security Project) adalah organisasi non-profit yang fokus pada keamanan aplikasi web. OWASP Top 10 adalah daftar 10 risiko keamanan aplikasi web paling kritis yang diperbarui secara berkala. Versi terbaru (2021) menjadi standar industri untuk security assessment.

OWASP Top 10 2021

A01: Broken Access Control

Kegagalan membatasi akses pengguna ke resource/fungsi. Termasuk: bypass CORS, forced browsing, IDOR, privilege escalation. Dampak: pengguna bisa mengakses, mengubah, atau menghapus data milik pengguna lain.

A02: Cryptographic Failures

Dulu "Sensitive Data Exposure". Kegagalan melindungi data sensitif dengan kriptografi yang tepat. Termasuk: transmisi plaintext, algoritma lemah (MD5, SHA1), key management buruk, tidak pakai HTTPS.

A03: Injection

Serangan injeksi terjadi saat data tidak tepercaya dikirim ke interpreter sebagai perintah/query. Termasuk: SQLi, Command Injection, LDAP Injection, NoSQL Injection. Masih sangat umum meskipun sudah dikenal lama.

A04: Insecure Design

Kategori baru yang fokus pada risiko terkait desain arsitektur. Termasuk: missing security controls, threat modeling tidak dilakukan, insecure design patterns.

A05: Security Misconfiguration

Kesalahan konfigurasi yang membuka celah keamanan: default credentials, verbose error messages, directory listing enabled, unnecessary features enabled, cloud storage misconfiguration.

A06: Vulnerable and Outdated Components

Menggunakan komponen/library/framework yang sudah usang atau memiliki CVE dikenal. Sangat umum karena dependency management yang buruk.

A07: Identification and Authentication Failures

Kelemahan dalam sistem autentikasi: password lemah, session management buruk, missing rate limiting, credential stuffing.

A08: Software and Data Integrity Failures

Kegagalan memverifikasi integritas software/data: insecure CI/CD pipeline, insecure deserialization, auto-update tanpa verifikasi signature.

A09: Security Logging and Monitoring Failures

Kurangnya logging dan monitoring: serangan tidak terdeteksi, audit trail tidak ada, alerting tidak berfungsi.

A10: Server-Side Request Forgery (SSRF)

Baru masuk Top 10. SSRF memungkinkan penyerang memaksa server mengirim request ke lokasi internal/eksternal yang tidak seharusnya diakses.

OWASP Testing Guide

Selain Top 10, OWASP menyediakan Testing Guide (WSTG) — metodologi komprehensif untuk penetration testing web app dengan ratusan test case.

OWASP ASVS

Application Security Verification Standard — standar untuk verifikasi keamanan aplikasi dengan 3 level: Level 1 (basic), Level 2 (standard), Level 3 (advanced).

Referensi

  • OWASP Top 10: https://owasp.org/www-project-top-ten/
  • OWASP Testing Guide: https://owasp.org/www-project-web-security-testing-guide/
  • OWASP ASVS: https://owasp.org/www-project-application-security-verification-standard/
  • OWASP Cheat Sheets: https://cheatsheetseries.owasp.org/