Apa itu OWASP dan 10 Besar OWASP?

Proyek Keamanan Aplikasi Web Terbuka (OWASP) adalah yayasan nirlaba yang bekerja untuk meningkatkan keamanan perangkat lunak. OWASP Top 10 adalah dokumen kesadaran standar untuk pengembang dan keamanan aplikasi web. Ini mewakili konsensus luas tentang risiko keamanan paling kritis untuk aplikasi web.

10 Risiko Keamanan Aplikasi Web Teratas OWASP

1. Injeksi

Cacat Injeksi dapat memungkinkan penyerang untuk menyuntikkan kode berbahaya ke dalam database WordPress Anda. Kode penyerang dapat mengelabui WordPress atau server Anda agar menjalankan perintah tanpa otorisasi yang tepat. Kode berbahaya dapat melakukan apa saja mulai dari mengekspor daftar pengguna situs web hingga menghapus tabel di database Anda.

Pencegahan

Memisahkan data dari perintah dan kueri dapat membantu mencegah kerentanan injeksi.

2. Otentikasi Rusak

Kerentanan Otentikasi Rusak dapat memungkinkan penyerang untuk mengkompromikan kata sandi, kunci, atau token sesi pengguna atau pengguna untuk mengambil alih akun pengguna.

Pencegahan

Anda dapat membantu melindungi situs web Anda dari kerentanan Otentikasi Rusak dengan menggunakan autentikasi dua faktor.

3. Paparan Data Sensitif

Aplikasi dan API yang tidak melindungi dengan benar terhadap Paparan Data Sensitif dapat memungkinkan penyerang mendapatkan akses ke nomor kartu kredit, catatan kesehatan, atau informasi pribadi pribadi lainnya.

Data dapat diekspos baik saat dalam perjalanan atau saat diam.

• Contoh data dalam perjalanan adalah saat nomor kartu kredit dikirim dari browser pelanggan Anda ke gateway pembayaran situs web Anda.
• Data yang diam berarti disimpan dan tidak digunakan. Contoh data saat istirahat adalah cadangan BackupBuddy Anda yang disimpan di lokasi di luar kantor. Cadangan akan tetap diam sampai dibutuhkan.

Pencegahan

Anda dapat memasang sertifikat SSL untuk membantu mengamankan dan mengenkripsi data yang sedang transit dan menambahkan enkripsi ke data tidak aktif untuk membantu mencegah paparan.

4. Entitas Eksternal XML (XXE)

Banyak prosesor XML yang lebih tua atau yang dikonfigurasi dengan buruk mengevaluasi entitas eksternal—seperti hard drive—referensi dalam dokumen XML. Penyerang dapat mengelabui parser XML agar mengirimkan informasi sensitif ke entitas eksternal di bawah kendali mereka

Pencegahan

Cara terbaik untuk mencegah XXE adalah dengan menggunakan format data yang tidak terlalu rumit seperti JSON dan menghindari serialisasi data sensitif.

5. Kontrol Akses Rusak

Kerentanan Broken Access Control akan memungkinkan penyerang untuk melewati otorisasi dan melakukan tugas yang biasanya dibatasi untuk pengguna dengan hak istimewa yang lebih tinggi seperti administrator.

Dalam konteks WordPress, kerentanan Broken Access Control dapat memungkinkan pengguna dengan peran Pelanggan untuk Melakukan tugas tingkat Administrator seperti menambah/menghapus plugin dan pengguna.

Pencegahan

iThemes Security Pro dapat membantu melindungi situs web Anda dari Kontrol Akses Rusak dengan membatasi akses admin ke daftar Perangkat Tepercaya.

6. Kesalahan Konfigurasi Keamanan

Kesalahan Konfigurasi Keamanan adalah masalah paling umum dalam daftar. Jenis kerentanan ini biasanya merupakan hasil dari konfigurasi default yang tidak aman, pesan kesalahan yang terlalu deskriptif, dan header HTTP yang salah dikonfigurasi.

Pencegahan

Masalah kesalahan konfigurasi keamanan dapat dikurangi dengan menghapus semua fitur yang tidak digunakan dalam kode, menjaga agar semua pustaka tetap mutakhir, dan membuat pesan kesalahan lebih umum.

7. Pembuatan Skrip Lintas Situs (XSS)

Kerentanan Cross-Site Scripting terjadi ketika aplikasi web memungkinkan pengguna untuk menambahkan kode kustom di jalur URL. Penyerang dapat mengeksploitasi kerentanan untuk menjalankan kode berbahaya di browser web korban, membuat pengalihan ke situs web berbahaya, atau membajak sesi pengguna.

Pencegahan

Fitur iThemes Security Pro Trusted Devices dapat membantu melindungi dari pembajakan sesi dengan memeriksa apakah perangkat pengguna tidak berubah selama sesi.

8. Deserialisasi Tidak Aman

Serialisasi mengonversi objek dari kode aplikasi menjadi format yang dapat dipulihkan nanti, seperti mengekspor pengaturan iThemes Security Pro Anda ke file JSON.

Deserialisasi adalah kebalikan dari proses itu, mengambil data terstruktur dalam beberapa format dan membangunnya kembali menjadi objek. Misalnya, mengambil pengaturan iThemes Security Pro yang Anda simpan dalam file JSON dan mengimpornya ke situs web baru.

Cacat Deserialisasi yang tidak aman dapat dan akan sering menyebabkan eksploitasi Eksekusi Kode Jarak Jauh, yang dapat mengakibatkan serangan eskalasi injeksi dan hak istimewa.

Pencegahan

Satu-satunya cara untuk mengurangi eksploitasi Deserialisasi Tidak Aman adalah dengan tidak menerima serialisasi dari sumber yang tidak tepercaya.

9. Menggunakan Komponen dengan Kerentanan yang Diketahui

Di mana-mana bagi pengembang untuk menggunakan komponen seperti perpustakaan dan kerangka kerja dalam aplikasi mereka. Ini termasuk plugin WordPress dan pengembang tema. Pustaka dan kerangka kerja pihak ketiga ini dapat menimbulkan lubang keamanan jika tidak diperbarui dengan benar.

Pencegahan

Pengembang dapat meminimalkan risiko penggunaan komponen dengan kerentanan yang diketahui dengan menghapus kode pihak ketiga yang tidak digunakan dan hanya menggunakan komponen dari sumber tepercaya.

10. Pencatatan & Pemantauan Tidak Memadai

Pencatatan dan pemantauan yang tidak memadai dapat menyebabkan keterlambatan dalam mendeteksi pelanggaran keamanan. Sebagian besar studi pelanggaran menunjukkan bahwa waktu untuk mendeteksi pelanggaran adalah lebih dari 200 hari! Jumlah waktu itu memungkinkan penyerang untuk menembus sistem lain, memodifikasi, mencuri, atau menghancurkan lebih banyak data.

Pencegahan

iThemes Security Pro WordPress Security Logs memantau banyak aktivitas jahat dan menggunakan informasi yang dikumpulkan untuk memblokir serangan dan memberi tahu Anda jika terjadi kesalahan.

Tambahkan Lebih Banyak Perlindungan Dengan iThemes Security Pro Site Scan

Dalam posting Roundup Kerentanan dua bulanan kami, kami membagikan semua inti WordPress, plugin, dan kerentanan tema terbaru yang diungkapkan. Banyak plugin dan tema yang kami bahas dalam ringkasan kami memiliki eksploitasi yang ada dalam daftar 10 teratas OWASP.

Penyebab # 1 dari situs web yang diretas adalah kerentanan yang patchnya tersedia tetapi tidak diterapkan. Tambahkan iThemes Security Pro Site Scan ke sabuk alat keamanan WordPress Anda untuk melindungi situs web Anda agar tidak dihapus oleh masalah keamanan yang diketahui. iThemes Security Pro Site Scanner memeriksa situs Anda untuk mengetahui kerentanan dan secara otomatis menerapkan tambalan jika tersedia.

Baik tema Anda menggunakan komponen dengan kerentanan yang diketahui , atau Anda menggunakan plugin yang diketahui memiliki kerentanan Cross-Site Scripting , iThemes Security Pro Site Scan telah membantu Anda.

Penutup: OWASP Top 10

Daftar 10 Teratas OWASP adalah sumber yang bagus untuk menyebarkan kesadaran tentang cara mengamankan aplikasi Anda dari kerentanan keamanan yang paling umum. Sayangnya, alasan mengapa kerentanan ini masuk dalam daftar 10 teratas adalah karena kerentanan tersebut lazim. Menggunakan plugin keamanan WordPress seperti iThemes Security Pro dapat membantu mengamankan dan melindungi situs web Anda dari banyak masalah keamanan umum ini.

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.