Keamanan Web seharusnya merupakan prioritas no.1
yang harus selalu di pertimbangkan oleh seorang web administrator dan
web developer, tetapi umumnya para pembuat web akan memprioritaskan
bagaimana membuat web yang menarik bagi pengunjung dan menempatkan
keamanan web di urutan ke-sekian. Padahal, umumnya aplikasi web adalah penghubung terdepan antara user ataupun attacker, sekaligus sebagai pintu masuk ke seluruh data yang relatif penting milik perusahaan anda.
Para
pembuat/penyedia web umumnya mengkategorikan keamanan web sebagai suatu
hal yang hanya perlu di pikirkan setelah web itu di buat dan siap di
gunakan oleh pengguna. Banyak ahli keamanan web bahkan menyatakan
bahwa, umumnya keseluruhan website yang ada di internet rentan untuk di
kuasai oleh penyerang, dan celah tersebut umumnya relatif gampang
ditemukan bahkan untuk di eksploitasi.
Beberapa Celah Web itu adalah :
1 – Cross Site Scripting (XSS)
Celah
XSS, adalah saat pengguna web aplikasi dapat memasukkan data dan
mengirimkan ke web browser tanpa harus melakukan validasi dan encoding
terhadap isi data tersebut, Celah XSS mengakibatkan penyerang dapat
menjalankan potongan kode (script) miliknya di browser target, dan
memungkinkan untuk mencuri user session milik target, bahkan sampai menciptakan Worm.
2 – Injection Flaws
Celah Injeksi, umumnya injeksi terhadap SQL (database) dari suatu aplikasi web.
Hal ini mungkin terjadi apabila pengguna memasukkan data sebagai bagian
dari perintah (query) yang menipu interpreter untuk menjalankan
perintah tersebut atau merubah suatu data.
3 – Malicious File Execution
Celah
ini mengakibatkan penyerang dapat secara remote membuat file yang
berisi kode dan data untuk di eksekusi, salah satunya adalah Remote
file inclusion (RFI).
4 – Insecure Direct Object Reference
Adalah
suatu celah yang terjadi saat pembuat aplikasi web merekspos referensi
internal penggunaan objek, seperti file, direktori, database record, dll
5 – Cross Site Request Forgery (CSRF)
Celah ini akan memaksa browser target yang sudah log-in untuk mengirimkan “pre-authenticated request”terhadap aplikasi web yang diketahui memiliki celah, dan memaksa browser target untuk melakukan hal yang menguntungkan penyerang.
6 – Information Leakage and Improper Error Handling
Penyerang
menggunakan informasi yang didapatkan dari celah yang di akibatkan oleh
informasi yang diberikan oleh web aplikasi seperti pesan kesalahan
(error) serta konfigurasi yang bisa di lihat.
7 – Broken Authentication and Session Management
Celah ini merupakan akibat buruknya penanganan proses otentikasi dan manajemen sesi, sehingga penyerang bisa mendapatkan password, atau key yang di gunakan untuk otentikasi.
8 – Insecure Cryptographic Storage
