Bisnis dan organisasi modern pada umumnya saat ini mengandalkan berbagai jenis aplikasi web, tidak hanya untuk pelanggan dan mitra, tetapi juga karyawan. Oleh karena itu, aspek keamanan aplikasi web sangat penting untuk diperhatikan. Serangan siber terhadap aplikasi web suatu perusahaan tidak hanya bisa mencoreng reputasi, tetapi juga mengganggu kelangsungan operasional perusahaan. Peretasan aplikasi web sebenarnya tergolong sering terjadi. Data Breach Investigations Report (DBIR) 2020 dari Verizon mencatat, sekitar 43% dari kebocoran data dapat dilacak dari serangan terhadap aplikasi web. Angka ini naik sekitar dua kali lipat dibandingkan tahun sebelumnya. Laporan tersebut menganalisis lebih dari 32.000 insiden keamanan dari 81 negara di seluruh dunia.
Baca juga: Insiden Kebocoran Data: Perusahaan Seperti Apa yang Paling Banyak Rugi?
Senada dengan DBIR, Global Intelligence Report dari NTT juga melaporkan bahwa bahwa sekitar 22% peretas membidik aplikasi web, 20% menyerang aplikasi CMS (Content Management System) yang umumnya juga berbasis web, dan 28% menyerang teknologi pendukung situs web seperti ColdFusion dan Apache Struts. Laporan dari Global Intelligence Report ini mencakup periode Oktober 2018 hingga September 2019. Kerentanan pada aplikasi web menjadi favorit serangan siber dari para peretas, karena umumnya aplikasi web terbuka terhadap publik dan bisa menjadi batu loncatan untuk memperoleh data yang lebih berharga. Aplikasi web terkadang memiliki akses terhadap data sensitif, misalnya data pelanggan perusahaan. Peretas yang berhasil membobol aplikasi web berpotensi memperoleh aset berharga. Cukup banyak aplikasi web yang dikembangkan oleh pengembang internal perusahaan, dan karena itu mungkin kurang pendapat pengujian dibandingkan dengan aplikasi komersial. Para penjahat digital umumnya sering berinovasi mencari cara terbaru untuk melakukan serangan siber. Namun, dalam hal serangan terhadap aplikasi web, biasanya mereka membidik kerentanan umum. Open Source Web Application Project (OWASP) mencatat sepuluh jenis kerentanan yang jamak ditemui pada aplikasi web, dan memberikan saran untuk pencegahan dan mitigasi.
Berikut ini adalah 10 kerentanan aplikasi web dari serangan siber yang disorot oleh OWASP:
1) Injeksi Kode: Ini terjadi ketika peretas menginjeksi data tidak valid dengan tujuan agar aplikasi dapat mengeksekusi kode tertentu. Serangan siber yang umum terjadi adalah SQLi (SQL injection), meskipun secara umum injeksi kode lain seperti perintah sistem operasi juga bisa ditemukan. 2) Autentikasi: Kerentanan dalam sistem autentikasi bisa membuka pintu bagi peretas untuk mengambil alih akun di dalam sistem. 3) Pengungkapan data sensitif: Berbagai data sensitif yang harusnya diproteksi, seperti informasi pribadi atau keuangan, sering terungkap/terpapar kepada publik. Aplikasi web seharusnya melindungi data sensitif ini dengan enkripsi, baik data yang dikirimkan (at transit) atau disimpan (at rest). 4) Entitas eksternal XML (XXE, XML External Entity): Serangan XXE sering terjadi terhadap aplikasi web yang memproses data XML. 5) Masalah kendali akses: Dalam aplikasi web, pengembang dan pengelola sistem harus membatasi akses laman mana saja yang dapat dibuka oleh pengguna. Kelalaian dalam pengaturan akses sangat berbahaya karena dapat membuka akses administrasi aplikasi web ke sembarang pengguna. 6) Miskonfigurasi keamanan: Aplikasi web sering di-deploy dengan konfigurasi bawaan (default) yang bisa jadi memiliki lubang keamanan. Pengelola sistem yang tidak mengubah konfigurasi bawaan dapat membuka kerentanan terhadap peretas. 7) Cross-Site Scripting (XSS): Kerentanan jenis ini menyerang pengguna/browser, dan dapat digunakan untuk mencuri kredensial pengguna aplikasi web, atau sebagai penghantar malware. 8) Deserialisasi tidak aman (Insecure Deserialization): Deserialisasi merupakan proses konversi dari format data tertentu (seperti XML atau JSON) kembali ke objek asal. Serangan terhadap proses ini dapat digunakan oleh peretas untuk memperoleh hak administrasi. 9) Penggunaan komponen aplikasi web yang tidak aman: Pengembang aplikasi web biasanya menggunakan pustaka/framework (dependency) dari pihak lain. Komponen aplikasi dari pihak lain ini bisa saja mengandung kerentanan yang dapat dimanfaatkan peretas. 10) Log dan pemantauan yang tidak memadai: Aplikasi web harus dipantau setiap waktu, sehingga anomali yang terjadi dapat langsung ditindaklanjuti.
Baca juga: [INFOGRAFIS] Fakta Ancaman Siber di Tengah Pandemi Virus Corona
Langkah-langkah pencegahan
Pada situs web resminya, OWASP memberikan saran yang terperinci untuk mengatasi tiap jenis kerentanan umum serangan siber tersebut. Namun, secara umum terdapat beberapa hal yang dapat dilakukan pengelola sistem IT perusahaan. Sebagai contoh, jika Anda memasang aplikasi Web Off the Shelf (terima jadi, bukan dikembangkan oleh pengembang internal) ada cukup banyak jenis kerentanan, yang dapat ditanggulangi dengan memperbarui aplikasi web secara berkala. Para pengembang aplikasi web ini secara rutin menambal kerentanan umum yang ditemukan seperti injeksi SQL (SQLi) dan XSS. Pengembang aplikasi web juga harus memastikan adanya proses memperbarui komponen kerangka kerja (framework) yang digunakan untuk mengembangkan aplikasi. Pembaruan framework terbaru juga biasanya menutup kerentanan yang mungkin ditemui. Jika ada framework aplikasi web usang yang sudah tidak lagi dipelihara pengembangnya, pertimbangkan untuk migrasi ke framework lain. Kerentanan sering dapat diatasi dengan memperbarui aplikasi web atau komponennya. Namun, ada kalanya pengelola sistem IT enggan untuk segera melakukan pembaruan terhadap sistem yang sedang berjalan karena khawatir mengganggu operasional bisnis. Web Application Firewall (WAF) sebenarnya dapat membantu. Penggunaan WAF sering digunakan untuk memitigasi berbagai kerentanan aplikasi web berjenis XSS, XXE, dan SQL injection. WAF membantu melindungi aplikasi web dengan memantau dan memfilter lalu lintas data (traffic) antara aplikasi web dan Internet, dan memblokir serangan yang terjadi terhadap aplikasi web. Perusahaan juga sebaiknya memiliki sistem pengelolaan informasi keamanan dan event (security information and event management) yang memadai, agar dapat memantau kejadian pada aplikasi web secara real-time dan mengambil tindakan yang diperlukan apabila terdapat serangan siber. Akan lebih baik lagi bila perusahaan tersebut memiliki pusat operasi keamanan (Security Operation Center atau SOC).
Baca juga: Phishing: Kenapa Masih Jadi Bahaya Utama Dunia Kejahatan Siber?
Lintasarta, yang telah memiliki pengalaman lebih dari 30 tahun dalam bidang keamanan teknologi menawarkan berbagai solusi untuk melindungi aplikasi web perusahaan Anda dari serangan siber. Misalnya, dengan Lintasarta Managed Security Operation Center (SOC) yang dapat membantu pengelola sistem IT perusahaan Anda untuk dapat memantau dan menganalisis insiden keamanan terhadap aplikasi web. Sementara itu, Web Application Firewall (WAF) merupakan bagian dari layanan dari Lintasarta Cloud Advanced Security. Untuk mengetahui lebih lanjut berbagai solusi keamanan siber Lintasarta, silakan hubungi kami.