Keamanan aplikasi web (juga dikenal sebagai Web AppSec) adalah gagasan untuk membangun situs web agar berfungsi seperti yang diharapkan, bahkan ketika sedang diserang. Konsep ini melibatkan kumpulan kontrol keamanan yang direkayasa ke dalam aplikasi Web untuk melindungi asetnya dari agen yang berpotensi jahat. Aplikasi web, seperti semua perangkat lunak, pasti mengandung cacat. Beberapa dari cacat ini merupakan kerentanan aktual yang dapat dieksploitasi, sehingga menimbulkan risiko bagi organisasi. Keamanan aplikasi web melindungi terhadap cacat tersebut. Hal ini melibatkan pemanfaatan praktik pengembangan yang aman dan penerapan langkah-langkah keamanan di seluruh siklus hidup pengembangan perangkat lunak (SDLC), untuk memastikan bahwa kelemahan tingkat desain dan bug tingkat implementasi telah diatasi.
Mengapa pengujian keamanan web penting?
Pengujian keamanan web bertujuan untuk menemukan kerentanan keamanan pada aplikasi Web dan konfigurasinya. Target utamanya adalah lapisan aplikasi (yaitu, apa yang berjalan pada protokol HTTP/S). Menguji keamanan aplikasi Web sering kali melibatkan pengiriman berbagai jenis masukan untuk memicu kesalahan dan membuat sistem berperilaku tidak terduga. Hal ini disebut dengan “negative test” yang menguji apakah sistem melakukan sesuatu yang tidak dirancang untuk dilakukan.
Penting juga untuk dipahami bahwa pengujian keamanan Web tidak hanya tentang pengujian fitur keamanan (misalnya otentikasi dan otorisasi) yang mungkin diterapkan dalam aplikasi. Hal yang sama pentingnya adalah menguji apakah fitur-fitur lain diimplementasikan dengan cara yang aman (misalnya, logika bisnis dan penggunaan validasi input dan pengkodean output yang tepat). Tujuannya adalah untuk memastikan bahwa fungsi-fungsi yang diekspos dalam aplikasi Web aman.
Apa saja jenis tes keamanan yang berbeda?
- Uji Keamanan Aplikasi Dinamis (DAST) . Uji keamanan aplikasi otomatis ini paling baik untuk aplikasi yang dihadapi secara internal dan berisiko rendah yang harus mematuhi penilaian keamanan peraturan. Untuk aplikasi berisiko menengah dan aplikasi kritis yang mengalami sedikit perubahan, menggabungkan DAST dengan beberapa pengujian keamanan web manual untuk kerentanan umum adalah solusi terbaik.
- Uji Keamanan Aplikasi Statis (SAST) . Pendekatan keamanan aplikasi ini menawarkan teknik pengujian otomatis dan manual. Cara terbaik untuk mengidentifikasi bug tanpa perlu menjalankan aplikasi di lingkungan produksi. Hal ini juga memungkinkan pengembang untuk memindai kode sumber dan secara sistematis menemukan dan menghilangkan kerentanan keamanan perangkat lunak.
- Uji Penetrasi . Tes keamanan aplikasi manual ini paling baik untuk aplikasi penting, terutama yang sedang mengalami perubahan besar. Penilaian ini melibatkan logika bisnis dan pengujian berbasis musuh untuk menemukan skenario serangan tingkat lanjut.
- Perlindungan Diri Aplikasi Runtime (RASP) . Pendekatan keamanan aplikasi yang terus berkembang ini mencakup sejumlah teknik teknologi untuk melengkapi aplikasi sehingga serangan dapat dipantau saat dijalankan dan, idealnya, diblokir secara real-time.
Bagaimana pengujian keamanan aplikasi mengurangi risiko organisasi Anda?
Mayoritas Serangan Aplikasi Web
- Injeksi SQL
- XSS (Skrip Lintas Situs)
- Eksekusi Perintah Jarak Jauh
- Penjelajahan Jalur
Hasil Serangan
- Akses ke konten yang dibatasi
- Akun pengguna yang disusupi
- Pemasangan kode berbahaya
- Kehilangan pendapatan penjualan
- Hilangnya kepercayaan dengan pelanggan
- Reputasi merek rusak
- Dan banyak lagi
Aplikasi Web di lingkungan saat ini dapat dipengaruhi oleh berbagai masalah. Diagram di atas menunjukkan beberapa serangan teratas yang digunakan oleh penyerang, yang dapat mengakibatkan kerusakan serius pada aplikasi individu atau organisasi secara keseluruhan. Mengetahui berbagai serangan yang membuat aplikasi rentan, selain potensi hasil serangan, memungkinkan perusahaan Anda mengatasi kerentanan terlebih dahulu dan mengujinya secara akurat.
Dengan mengidentifikasi akar penyebab kerentanan, pengendalian mitigasi dapat diterapkan pada tahap awal SDLC untuk mencegah masalah apa pun. Selain itu, pengetahuan tentang cara kerja serangan ini dapat dimanfaatkan untuk menargetkan tempat menarik yang diketahui selama pengujian keamanan aplikasi Web.
Mengenali dampak serangan juga merupakan kunci dalam mengelola risiko perusahaan Anda, karena dampak serangan yang berhasil dapat digunakan untuk mengukur tingkat keparahan kerentanan secara keseluruhan. Jika masalah teridentifikasi selama uji keamanan, menentukan tingkat keparahannya memungkinkan perusahaan Anda memprioritaskan upaya remediasi secara efisien. Mulailah dengan masalah dengan tingkat keparahan yang kritis dan upayakan untuk mengatasi masalah yang berdampak lebih rendah untuk meminimalkan risiko bagi perusahaan Anda.
Sebelum masalah teridentifikasi, mengevaluasi potensi dampak terhadap setiap aplikasi dalam libraries aplikasi perusahaan Anda dapat memfasilitasi penentuan prioritas pengujian keamanan aplikasi. Dengan daftar aplikasi profil tinggi yang sudah ada, pengujian keamanan web dapat dijadwalkan untuk menargetkan aplikasi penting perusahaan Anda terlebih dahulu dengan pengujian yang lebih bertarget untuk menurunkan risiko terhadap bisnis.
Fitur apa saja yang harus ditinjau selama pengujian keamanan aplikasi web?
Daftar fitur yang tidak lengkap berikut ini harus ditinjau selama pengujian keamanan aplikasi Web. Penerapan masing-masing yang tidak tepat dapat mengakibatkan kerentanan, sehingga menimbulkan risiko serius bagi organisasi Anda.
- Konfigurasi aplikasi dan server . Potensi cacat terkait dengan enkripsi/konfigurasi kriptografi, konfigurasi server Web, dll.
- Validasi masukan dan penanganan kesalahan . Injeksi SQL , skrip lintas situs (XSS), dan kerentanan injeksi umum lainnya adalah akibat dari penanganan input dan output yang buruk.
- Otentikasi dan manajemen sesi . Kerentanan berpotensi mengakibatkan peniruan identitas pengguna. Kekuatan dan perlindungan kredensial juga harus dipertimbangkan.
- Otorisasi . Menguji kemampuan aplikasi untuk melindungi terhadap peningkatan hak istimewa vertikal dan horizontal.
- Logika bisnis . Ini penting untuk sebagian besar aplikasi yang menyediakan fungsionalitas bisnis.
- Logika sisi klien . Dengan laman web modern yang banyak menggunakan JavaScript, selain laman web yang menggunakan jenis teknologi sisi klien lainnya (misalnya, Silverlight, Flash, applet Java), jenis fitur ini menjadi lebih umum.