Web apps telah digunakan di berbagai sektor dan telah menjadi bagian integral dari kehidupan manusia. Namun, web apps sering kali tidak memiliki jenis perlindungan seperti yang dimiliki oleh perangkat lunak dan sistem operasi tradisional, sehingga rentan terhadap ancaman dari internal dan eksternal. Munculnya ransomware, serangan XSS telah menjadi mimpi buruk bagi perusahaan bisnis di seluruh dunia. Cybersecurity Ventures memperkirakan kejahatan siber global akan tumbuh sebesar 15% per tahun selama lima tahun ke depan, sehingga kerugian diperkirakan dapat mencapai $10,5 triliun USD pada tahun 2025. Lantas, bagaimana cara memastikan keamanan web apps? Apa saja strategi untuk menghindari ancaman cyber ini?
Meningkatnya ancaman siber telah membuat keamanan web apps menjadi semakin penting, terutama karena beberapa institusi paling terkenal di dunia telah diretas pada satu titik tertentu karena kelemahan keamanan mereka. Berikut ini merupakan ancaman cyber yang paling mengkhawatirkan menurut para ahli.
Berikut Ini Beberapa Tips Untuk Memastikan Keamanan Web Apps Anda
Web application scanners dapat menguji website Anda untuk berbagai kerentanan, seperti injeksi SQL atau skrip lintas situs (XSS). Burp Suite merupakan salah satu advanced tool yang digunakan pengembang web untuk melakukan scanning kerentanan web apps. Tools ini menawarkan berbagai fitur pengujian yang lebih luas dan membutuhkan lebih banyak waktu untuk menguasainya daripada alat yang lebih sederhana.
Saat Anda membangun sebuah e-commerce, pastikan untuk selalu menjalankan setidaknya satu jenis pemindai sebelum situs tersebut diluncurkan (going live). Beberapa sistem akan secara otomatis melakukan pemindaian ini ketika Anda memperbaruinya dan memberi tahu Anda jika mereka menemukan masalah. Jadi pastikan pemindaian tersebut diaktifkan.
Tools scanner tidaklah sempurna, alat ini terkadang memberikan hasil false positives atau melaporkan masalah yang sebenarnya tidak berbahaya. Waspada dalam memeriksa ulang temuan mereka sebelum mengambil tindakan berdasarkan temuan tersebut.
Kebanyakan orang terbiasa menggunakan kombinasi nama, ulang tahun, atau tim olahraga favorit untuk membuat password yang mudah diingat. Namun, password seperti itu kemungkinan besar dapat dicuri oleh peretas.
Trik yang paling umum dilakukan oleh peretas adalah mengakses basis data pengguna yang penuh dengan password teks yang jelas (plain-text atau tidak diacak) yang kemudian dapat digunakan untuk tujuan jahat seperti pencurian identitas atau distributed denial-of-service attacks.
Peretas dapat dengan mudah memecahkan kata sandi ini dari nama pengguna karena banyak orang menggunakan kombinasi yang mudah ditebak seperti admin, password, atau 12345. Cara terbaik untuk menghindari menjadi bagian dari statistik tersebut adalah dengan memilih kata sandi yang kuat: dengan menggunakan kalimat atau puisi yang bisa Anda ingat tetapi tidak mudah ditebak oleh orang lain.
Risiko keamanan pastinya tidak dapat dihilangkan, namun Anda bisa menjadikan diri Anda sebagai target yang lebih menantang untuk dituju dengan menggunakan subdomain daripada hostname untuk memisahkan pekerjaan dan kehidupan pribadi Anda pada satu perangkat atau server.
IWA adalah protokol jaringan Microsoft yang menggunakan kata sandi teks yang jelas atau autentikasi tantangan/respons enkripsi melalui port TCP 139 untuk mengautentikasi pengguna saat masuk ke server. Ini diaktifkan secara default di Internet Information Services (IIS) 6 tetapi dapat dinonaktifkan melalui IIS Manager atau Windows Registry Editor jika diinginkan oleh administrator atau pemilik sistem.
Menonaktifkan IWA biasanya dilakukan untuk menghindari pengungkapan nama pengguna dan kata sandi melalui koneksi jaringan. Namun, ini juga menonaktifkan autentikasi NTLM, yang bisa menjadi masalah jika Anda memiliki klien non-Microsoft yang tersambung ke server Anda dengan sistem operasi lawas seperti Windows 95, 98, dsb. Komputer Apple menjalankan Mac OS X versi 10.3 atau lebih lama sebelum Kerberos mendukung Mac OS X.
Biasa disebut dengan sistem verifikasi manusia, CAPTCHA merupakan singkatan dari Completely Automated Public Turing test to tell Computers and Humans Apart. Umumnya digunakan pada situs web untuk memverifikasi bahwa pengakses (Anda) adalah manusia. Kegunaan lainnya adalah untuk pemulihan kata sandi, login komputer, otentikasi pengguna, membuat formulir dapat diakses oleh perangkat lunak teknologi adaptif seperti pembaca layar (perangkat lunak yang membaca teks di layar). Merupakan alat yang sangat berguna ketika berurusan dengan input otomatis yang berpotensi bermasalah dari pengguna.
Hindari penggunaan Cookie untuk menyimpan informasi sensitif. Menyimpan informasi sensitif seperti kata sandi, nomor KTP, nomor kartu kredit dalam Cookie sangat berisiko.
Informasi tersebut dapat ditangkap emlalui berbagai cara termasuk browser malware atau tidak sengaja terungkap pada file log yang sering disimpan di dalam sebuah server (bersama dengan cookie yang tidak dihapus secara otomatis di antara sesi).
Sebaiknya Anda mempertimbangkan untuk menggunakan penyimpanan database untuk menyimpan data session sehingga menurunkan potensi data terekspos akibat cara pengaksesan yang tidak tepat. Contohnya: SQLite database dapat digunakan untuk pengganti cookie apabila dikonfigurasi dengan benar.
Apache HTTP Server merupakan perangkat lunak yang hampir menghosting 2/3 situs web di seluruh dunia. Ini juga berarti lebih banyak orang yang menggunakanya untuk menguji kode baru yang rentan (kode yang dapat dieksploitasi oleh peretas). Para peretas atau hacker ini membuat virus untuk mencuri informasi pribadi melalui malware yang ditanamkan pada server, malware tersebut dapat menginfeksi ribuan korban melalui sebuah email atau unduhan.
Menjaga keamanan Apache merupakan sebuah keharusan apabila Anda berencana untuk menjalankan sebuah website dengan informasi sensitif di dalamnya.
Cookie merupakan informasi kecil yang digunakan website untuk melacak informasi untuk keperluan pengguna yang sedang login atau menyimpan keranjang belanja pengguna di situs e-commerce. Namun, menyimpan data sensitif seperti password atau nomor identitas pengguna di dalam cookie sangatlah berisiko.
Saat seseorang mencuri cookie dari website Anda, mereka dapat menggunakannya untuk mengakses bagian lain dari website. Pastikan untuk melakukan enkripsi data sensitif sebelum menyimpannya di dalam cookie, sehingga orang lain tidak dapat membacanya meskipun data tersebut berhasil dicuri. Sebagai alternatif, Anda dapat memanfaatkan databse sebagai pengganti cookie sehingga meminimalisir risiko pencurian data.
Pencurian cookie merupakan masalah yang signifikan dalam e-commerce. Terutama karena cookie mudah dibaca dengan metode sniffing lalu lintas jaringan dan dapat dengan mudah dicuri apabila pada website yang tidak menggunakan layanan SSL/TLS serta melalui koneksi Wi-Fi yang tidak terenkripsi.
Menjalankan penetration testing secara teratur dapat membantu Anda untuk mengidentifikasi kerentanan yang terdapat dalam kode Anda. Penetration testing mensimulasikan serangan yang nyata untuk melihat seberapa jauh peretas dapat masuk ke dalam sistem.
Penetration testing secara manual mungkin tidak dapat mengungkap kerentanan arsitektur tertentu yang dapat dideteksi oleh alat otomatis. Jika kerentanan tersebut tidak diperbaiki, peretas mungkin dapat menyusup melalui jaringan dan melakukan serangan malware pada pengguna web app.
Pengujian setelah deployment juga penting untuk memastikan bahwa kode baru tidak menciptakan lebih banyak kerentanan daripada patches.
Setiap kali web app terdapat penambahan fungsionalitas maka akan membuka kemungkinan munculnya sebuah kerentanan. Pengujian secara menyeluruh sangat penting untuk memastikan integritas saat melakukan update web app.
Referensi:
https://medium.com/quick-code/how-to-secure-web-apps-a-web-app-security-checklist-bb27cf049d1d
Ingin tahu informasi selengkapnya, silakan kunjungi website kami di:
https://hdnmetatech.com/
https://agus-hermanto.com/
Jangan lupa follow media sosial kami yang lain
Instagram : hdnmetatech
Linkedin : https://www.linkedin.com/company/herdina-metatech-sinergi-corp
Facebook : Herdina Metatech Sinergi Corp