EITC/IS/WASF Web Applications Security Fundamentals adalah program Sertifikasi TI Eropa tentang aspek teoretis dan praktis dari keamanan layanan World Wide Web mulai dari keamanan protokol web dasar, melalui privasi, ancaman, dan serangan pada berbagai lapisan komunikasi jaringan lalu lintas web, web keamanan server, keamanan di lapisan yang lebih tinggi, termasuk browser web dan aplikasi web, serta otentikasi, sertifikat, dan phising.
Kurikulum Dasar-Dasar Keamanan Aplikasi Web EITC/IS/WASF mencakup pengenalan aspek keamanan web HTML dan JavaScript, DNS, HTTP, cookie, sesi, cookie dan serangan sesi, Kebijakan Asal yang Sama, Pemalsuan Permintaan Lintas Situs, pengecualian untuk Hal yang Sama Kebijakan Asal, Cross-Site Scripting (XSS), pertahanan Cross-Site Scripting, sidik jari web, privasi di web, DoS, phishing dan saluran samping, Denial-of-Service, phishing dan saluran samping, serangan injeksi, Injeksi kode, transportasi keamanan lapisan (TLS) dan serangan, HTTPS di dunia nyata, otentikasi, WebAuthn, mengelola keamanan web, masalah keamanan dalam proyek Node.js, keamanan server, praktik pengkodean yang aman, keamanan server HTTP lokal, serangan DNS rebinding, serangan browser, browser arsitektur, serta menulis kode browser yang aman, dalam struktur berikut, mencakup konten didaktik video yang komprehensif sebagai referensi untuk Sertifikasi EITC ini.
Keamanan aplikasi web adalah bagian dari keamanan informasi yang berfokus pada keamanan situs web, aplikasi web, dan layanan web. Keamanan aplikasi web, pada tingkat paling dasar, didasarkan pada prinsip-prinsip keamanan aplikasi, tetapi menerapkannya terutama pada internet dan platform web. Teknologi keamanan aplikasi web, seperti firewall aplikasi Web, adalah alat khusus untuk bekerja dengan lalu lintas HTTP.
Proyek Keamanan Aplikasi Web Terbuka (OWASP) menawarkan sumber daya yang gratis dan terbuka. Yayasan OWASP nirlaba bertanggung jawab atas hal itu. Top 2017 OWASP 10 adalah hasil studi saat ini berdasarkan data ekstensif yang dikumpulkan dari lebih dari 40 organisasi mitra. Sekitar 2.3 juta kerentanan terdeteksi di lebih dari 50,000 aplikasi yang menggunakan data ini. Sepuluh masalah keamanan aplikasi online paling kritis, menurut OWASP Top 10 – 2017, adalah:
- Injeksi
- Masalah otentikasi
- Data sensitif yang terpapar XML entitas eksternal (XXE)
- Kontrol akses yang tidak berfungsi
- Salah konfigurasi keamanan
- Skrip situs-ke-situs (XSS)
- Deserialisasi yang tidak aman
- Menggunakan komponen yang telah diketahui kekurangannya
- Pencatatan dan pemantauan tidak cukup.
Oleh karena itu, praktik mempertahankan situs web dan layanan online dari berbagai ancaman keamanan yang memanfaatkan kelemahan dalam kode aplikasi dikenal sebagai keamanan aplikasi web. Sistem manajemen konten (misalnya, WordPress), alat administrasi database (misalnya, phpMyAdmin), dan aplikasi SaaS adalah target umum untuk serangan aplikasi online.
Aplikasi web dianggap sebagai target prioritas tinggi oleh para pelakunya karena:
- Karena kerumitan kode sumbernya, kerentanan tanpa pengawasan dan modifikasi kode berbahaya lebih mungkin terjadi.
- Penghargaan bernilai tinggi, seperti informasi pribadi sensitif yang diperoleh melalui gangguan kode sumber yang efektif.
- Kemudahan eksekusi, karena sebagian besar serangan dapat dengan mudah diotomatisasi dan disebarkan tanpa pandang bulu terhadap ribuan, puluhan, atau bahkan ratusan ribu target sekaligus.
- Organisasi yang gagal melindungi aplikasi web mereka rentan terhadap serangan. Hal ini dapat menyebabkan pencurian data, hubungan klien yang tegang, lisensi yang dibatalkan, dan tindakan hukum, antara lain.
Kerentanan di situs web
Cacat sanitasi input/output umum terjadi di aplikasi web, dan sering kali dieksploitasi untuk mengubah kode sumber atau mendapatkan akses yang tidak sah.
Kelemahan ini memungkinkan eksploitasi berbagai vektor serangan, termasuk:
- SQL Injection – Ketika pelaku memanipulasi database backend dengan kode SQL berbahaya, informasi terungkap. Penjelajahan daftar ilegal, penghapusan tabel, dan akses administrator yang tidak sah adalah di antara konsekuensinya.
- XSS (Cross-site Scripting) adalah serangan injeksi yang menargetkan pengguna untuk mendapatkan akses ke akun, mengaktifkan Trojan, atau mengubah konten halaman. Ketika kode berbahaya disuntikkan langsung ke dalam aplikasi, ini dikenal sebagai XSS tersimpan. Saat skrip berbahaya dicerminkan dari aplikasi ke browser pengguna, ini dikenal sebagai XSS yang direfleksikan.
- Penyertaan File Jauh – Bentuk serangan ini memungkinkan peretas untuk menyuntikkan file ke server aplikasi web dari lokasi yang jauh. Ini dapat menyebabkan skrip atau kode berbahaya dieksekusi dalam aplikasi, serta pencurian atau modifikasi data.
- Pemalsuan Permintaan Lintas Situs (CSRF) – Jenis serangan yang dapat mengakibatkan transfer uang tunai yang tidak disengaja, perubahan kata sandi, atau pencurian data. Itu terjadi ketika program web jahat menginstruksikan browser pengguna untuk melakukan tindakan yang tidak diinginkan di situs web tempat mereka masuk.
Secara teori, sanitasi input/output yang efektif dapat menghapus semua kerentanan, membuat aplikasi kebal terhadap modifikasi yang tidak sah.
Namun, karena sebagian besar program terus berkembang, sanitasi menyeluruh jarang menjadi pilihan yang layak. Selain itu, aplikasi biasanya terintegrasi satu sama lain, menghasilkan lingkungan berkode yang menjadi semakin kompleks.
Untuk menghindari bahaya tersebut, solusi dan proses keamanan aplikasi web, seperti sertifikasi Standar Keamanan Data PCI (PCI DSS), harus diterapkan.
Firewall untuk aplikasi web (WAF)
WAF (firewall aplikasi web) adalah solusi perangkat keras dan perangkat lunak yang melindungi aplikasi dari ancaman keamanan. Solusi ini dirancang untuk memeriksa lalu lintas masuk untuk mendeteksi dan memblokir upaya serangan, mengkompensasi kekurangan sanitasi kode apa pun.
Penyebaran WAF membahas kriteria penting untuk sertifikasi PCI DSS dengan melindungi data dari pencurian dan modifikasi. Semua data pemegang kartu kredit dan debit yang disimpan dalam database harus dijaga, sesuai dengan Persyaratan 6.6.
Karena diletakkan di depan DMZ-nya di tepi jaringan, membuat WAF biasanya tidak memerlukan perubahan apa pun pada aplikasi. Ini kemudian berfungsi sebagai gerbang untuk semua lalu lintas masuk, menyaring permintaan berbahaya sebelum mereka dapat berinteraksi dengan aplikasi.
Untuk menilai lalu lintas mana yang diizinkan mengakses aplikasi dan mana yang harus disingkirkan, WAF menggunakan berbagai heuristik. Mereka dapat dengan cepat mengidentifikasi aktor jahat dan vektor serangan yang diketahui berkat kumpulan tanda tangan yang diperbarui secara berkala.
Hampir semua WAF dapat disesuaikan dengan kasus penggunaan individu dan peraturan keamanan, serta memerangi ancaman yang muncul (juga dikenal sebagai zero-day). Terakhir, untuk memperoleh wawasan tambahan tentang pengunjung yang masuk, sebagian besar solusi modern menggunakan data reputasi dan perilaku.
Untuk membangun perimeter keamanan, WAF biasanya dikombinasikan dengan solusi keamanan tambahan. Ini dapat mencakup layanan pencegahan penolakan layanan (DDoS) terdistribusi, yang memberikan skalabilitas ekstra yang diperlukan untuk mencegah serangan volume tinggi.
Daftar periksa untuk keamanan aplikasi web
Ada berbagai pendekatan untuk melindungi aplikasi web selain WAF. Daftar periksa keamanan aplikasi web apa pun harus menyertakan prosedur berikut:
- Mengumpulkan data — Buka aplikasi dengan tangan, cari titik masuk dan kode sisi klien. Mengklasifikasikan konten yang di-host oleh pihak ketiga.
- Otorisasi — Cari lintasan lintasan, masalah kontrol akses vertikal dan horizontal, otorisasi yang hilang, dan referensi objek langsung yang tidak aman saat menguji aplikasi.
- Amankan semua transmisi data dengan kriptografi. Apakah ada informasi sensitif yang telah dienkripsi? Sudahkah Anda menggunakan algoritme yang tidak sesuai? Apakah ada kesalahan keacakan?
- Denial of service — Uji anti-otomatisasi, penguncian akun, protokol HTTP DoS, dan SQL wildcard DoS untuk meningkatkan ketahanan aplikasi terhadap serangan penolakan layanan. Ini tidak termasuk keamanan terhadap serangan DoS dan DDoS volume tinggi, yang memerlukan campuran teknologi pemfilteran dan sumber daya yang dapat diskalakan untuk bertahan.
Untuk perincian lebih lanjut, seseorang dapat memeriksa Lembar Cheat Pengujian Keamanan Aplikasi Web OWASP (ini juga merupakan sumber yang bagus untuk topik terkait keamanan lainnya).
Perlindungan DDoS
Serangan DDoS, atau serangan penolakan layanan terdistribusi, adalah cara umum untuk mengganggu aplikasi web. Ada sejumlah pendekatan untuk mengurangi serangan DDoS, termasuk membuang lalu lintas serangan volumetrik di Jaringan Pengiriman Konten (CDN) dan menggunakan jaringan eksternal untuk merutekan permintaan asli dengan tepat tanpa menyebabkan gangguan layanan.
Perlindungan DNSSEC (Ekstensi Keamanan Sistem Nama Domain)
Sistem nama domain, atau DNS, adalah buku telepon Internet, dan ini mencerminkan bagaimana alat Internet, seperti browser web, menemukan server yang relevan. Keracunan cache DNS, serangan di jalur, dan cara lain yang mengganggu siklus pencarian DNS akan digunakan oleh pelaku jahat untuk membajak proses permintaan DNS ini. Jika DNS adalah buku telepon Internet, DNSSEC adalah ID penelepon yang tidak dapat dipalsukan. Permintaan pencarian DNS dapat dilindungi menggunakan teknologi DNSSEC.
Untuk mengenal diri Anda secara detail dengan kurikulum sertifikasi, Anda dapat memperluas dan menganalisis tabel di bawah ini.
Kurikulum Sertifikasi Dasar Keamanan Aplikasi Web EITC/IS/WASF mereferensikan materi didaktik akses terbuka dalam bentuk video. Proses pembelajaran dibagi menjadi struktur langkah demi langkah (program -> pelajaran -> topik) yang mencakup bagian kurikulum yang relevan. Konsultasi tak terbatas dengan pakar domain juga disediakan.
Untuk perincian tentang prosedur Sertifikasi, periksa Bagaimana itu bekerja.
Unduh materi persiapan belajar mandiri offline lengkap untuk program Dasar-Dasar Keamanan Aplikasi Web EITC/IS/WASF dalam file PDF
Materi persiapan EITC/IS/WASF – versi standar
Materi persiapan EITC/IS/WASF – versi diperluas dengan pertanyaan tinjauan