Web Security Compliance To Owasp And Sans Standard
Abstract
Perkembangan ilmu pengetahuan dan teknologi begitu pesat membawa banyak perubahan
di seluruh dunia. Hal ini ditandai dengan akses informasi yang semakin mudah dan hampir
seluruh aktivitas dapat dilakukan menggunakan teknologi melalui media internet. Namun,
kejahatan dunia maya ikut meningkat seiring dengan naiknya penggunaan teknologi, banyak
informasi penting mengenai pribadi maupun organisasi yang harus dijaga agar tidak
menimbulkan hal-hal yang tidak diinginkan. Tidak hanya itu, website sebagai salah satu sarana
dalam mendapatkan informasi juga harus dijaga keamanannya agar tidak mudah diserang oleh
orang yang tidak bertanggung jawab.
Oleh karena itu, diperlukannya analisis celah keamanan suatu website yang dapat
dilakukan melalui proses pengujian celah keamanan atau biasa disebut dengan penetration
testing, teknik penetration testing ini dapat dilakukan oleh penguji dengan menggunakan
standar keamanan yang ada dengan melakukan simulasi sebagai pihak luar atau penyusup yang
hendak masuk kedalam suatu jaringan atau sistem. Penulis menerapkan metode pengujian
OWASP Versi 4.2 sebagai framework karena metode ini menenrapkan tata cara pengujian
secara terperinci. Selain itu, penulis menerapkan standar keamanan CWE/SANS Top 25 sebagai
daftar acuan celah keamanan terkini yang dilengkapi dengan OWASP Top 10 yang berisi daftar
serupa mengenai kerentanan keamanan. Penulis menggunakan CWE/ SANS Top 25 dan
OWASP Top 10 karena daftar kerentanan tersebut selalu diperbaharui seiring dengan
perkembangan teknologi.
Selama penelitian berlangsung ditemukan hasil kemungkinan celah keamanan pada
beberapa pengujian, meliputi: testing for weak lock out mechanism (WSTG-ATHN-03), test
remember password functionality (WSTG-ATHN-05), testing for weak password change or
reset functionalities (WSTG-ATHN-09), testing directory traversal/file include (WSTG-ATHZ01),
testing for bypassing authorization schema (WSTG-ATHZ-02), testing for bypassing
session management schema (WSTG-SESS-01), testing for cookies attributes (WSTG-SESS02),
testing for session fixation (WSTG-SESS-03), testing for cross-side request forgery
(WSTG-SESS-05), testing for logout functionality (WSTG-SESS-06), test session timeout
(WSTG-SESS-07), testing for session puzzling (WSTG-SESS-08), dan testing for session
hijacking (WSTG-SESS-09). Beberapa kemungkinan celah tersebut dianalisis berdasarkan
daftar celah keamanan OWASP Top 10 dan SANS/CWE Top 25 dengan hasil yang diperoleh
website cek-ejaan.com memiliki kerentanan berupa broken access control, cryptographic
failures, insecure design, identification and authentication failures. Berdasarkan hasil yang diperoleh website cek-ejaan.com kurang menerapkan prinsip keamanan informasi yang terdiri
dari confidentiality, integrity, dan availability. Jika dilihat dari beberapa fitur dan activity yang
dilakukan website cek-ejaan.com tergolong cukup aman karena tidak mengandung informasi
sensitif. Selain itu website cek-ejaan.com memiliki firewall yang cukup tangguh dalam
memblokir serangan. Metode OWASP versi 4.2 yang digunakan dalam menguji website cekejaan.com
sangat cocok digabungkan dengan daftar celah keamanan OWASP Top 10 dan
SANS/CWE Top 25. OWASP ZAP sebagai alat scan otomatis sangat baik menampilkan jenis
kerentanan secara detail.
Collections
- Informatics Engineering [2143]