MENJELASKAN KEAMANAN APLIKASI WEB
Menjelaskan Keamanan Aplikasi Web
Aplikasi web adalah suatu lingkungan yang terstruktur dalam bentuk acara komputer yg memungkinkan pengunjung website memasukkan serta menampilkan data dari dan ke suatu database server melalui internet dengan menggunakan web browser. Kemudian data ditampilkan ke pengguna menjadi fakta yang dihasilkan secara dinamis sang pelaksanaan web melalui web server.
Ciri serta Sifat Aplikasi Web
Menurut Roger S. Pressman dalam bukunya Software Engineering A Practitioner’s Approach dikatakan suatu pelaksanaan web memiliki disparitas menggunakan aplikasi lainnya, lantaran mempunyai sifat serta karakteristik-ciri sebagai berikut:
1. Network Intensive
Network intensive Sifat dasar menurut suatu pelaksanaan web merupakan terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani beragam kebutuhan dari penggunanya.
Network intensive Sifat dasar menurut suatu pelaksanaan web merupakan terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani beragam kebutuhan dari penggunanya.
2. Content Driven
Fungsi utama menurut aplikasi web merupakan buat menampilkan kabar berupa teks, gambar, audio, serta video kepada para penggunanya.
3. Continuous Evolution
Aplikasi web mengalami perubahan secara terus-menerus (continuous evolution), terutama dalam bagian isi (warta) berdasarkan pelaksanaan tadi.
4. Document-Oriented
Halaman-page web yang bersifat statis akan permanen terdapat meskipun sudah terdapat teknik pemrograman web menggunakan menggunakan bahasa pemrograman java atau yg lainnya.
5. Immediacy
Aplikasi web memiliki ciri kesiapan (immediacy), yang berarti pelaksanaan web tadi wajib sudah siap dan lengkap untuk ditampilkan ke publik dalam jarak saat beberapa hari atau minggu saja, dan hal ini nir ditemukan pada perangkat lunak lainnya.
6. Security
Berkembangnya pelaksanaan web serta Internet mengakibatkan pergerakan sistem kabar buat menggunakannya menjadi basis. Banyak sistem yang nir terhubung ke Internet namun permanen memakai basis pelaksanaan web sebagai basis buat sistem informasinya yg dipasang di jaringan Intranet. Untuk itu, keamanan sistem keterangan yang berbasis pelaksanaan web serta teknologi Internet bergantung pada keamanan sistem aplikasi web tadi.
Keamanan dibutuhkan buat melindungi isi dari aplikasi web yg sensitif serta menyediakan proses pengiriman data yg aman, sang karena itu keamanan pelaksanaan harus diterapkan dalam semua infrastruktur yg mendukung web pelaksanaan, termasuk jua web aplikasi itu sendiri.
Arsitektur sistem pelaksanaan web terdiri berdasarkan 2 sisi: server serta klien. Keduanya dihubungkan dengan jaringan personal komputer (computer network). Selain menyajikan data-data pada bentuk statis, pelaksanaan dapat menyajikan data pada bentuk bergerak maju dengan menjalankan program. Program ini dapat dijalankan di server (misal menggunakan CGI, servlet) serta di klien (applet, Javascript).
7. Aesthetics
Selain sisi teknis, estetis juga merupakan suatu hal yg wajib diperhatikan pada sebuah pelaksanaan web, lantaran tampilan serta estetika merupakan galat satu hal yang utama, yang dipakai sebagai daya tarik pengunjung.
Kualitas Aplikasi Web
Kualitas yg baik menurut suatu pelaksanaan web dapat diukur melalui beberapa ciri, antara lain, usability, functionality, reliability, efficiency, dan maintainability [6]. Gambar 2 menunjukkan faktor-faktor yg membantu pengembang pada merancang dan menciptakan pelaksanaan web yang bisa diterima dan memenuhi kebutuhan penggunanya yang begitu beragam.
Gambar Faktor Kualitas Aplikasi Web
Arsitektur Aplikasi Web
Menurut Krutchen sebuah arsitektur pelaksanaan web dibangun dari pada empat butir tinjauan, yaitu Logical, Process, Physical serta Development View, masing-masing tinjauan tersebut memiliki pengertian yg tidak sama dan semua tinjauan tadi wajib diperiksa buat memperoleh pemahaman yang baik tentang pelaksanaan web secara holistik. Untuk menambahkan sebuah kebutuhan spesifik pada aplikasi web, misalnya keamanan dapat dibubuhi tinjauan lainnya pada arsitektur pelaksanaan web.
Gambar Logical View pada Aplikasi Web
1. Logical View
Ditinjau secara logis, pelaksanaan web merupakan abstraksi menurut sebuah sistem yg mempunyai domain perkara tertentu. Sebuah pelaksanaan digambarkan menjadi interaksi antara komponen-komponen yg berbeda. Pada level arsitektur, sebuah pelaksanaan web dapat digolongkan ke pada bentuk dua-tier atau sebagai 3-tier (misalnya yang ditunjukkan dalam Gambar)
Gambar Tinjauan Model Arsitektur 4+1
Presentation Logic tier bertanggung jawab buat melakukan interaksi antara komponen-komponen untuk menghasilkan tampilan user. Komponen dalam bagian ini hanya berinteraksi dengan komponen yg berada pada Business Logic tier. Komponen yang masih ada dalam Business Logic tier berisi seluruh pengetahuan yang diperlukan buat melakukan proses modifikasi komponen data yang terdapat pada Databases tier. Databases tier berisi semua komponen data yg dipakai buat menyediakan penyimpanan data buat data serta informasi dari suatu aplikasi web.
Arsitektur 3-tierd menyediakan perhatian lebih terhadap pembagian permasalahan. Pada arsitektur 2-tierd bagian business logic serta databases disatukan. Keuntungan berdasarkan arsitektur 3-tierd adalah sistem database bisa dengan mudah dilakukan perubahan tanpa mempengaruhi bagian business logic.
2. Development View
Development view berfokus pada pemetaan antara konsep komponen logical view ke implementasi sebenarnya. Development view pada suatu pelaksanaan web terdiri dari:
a. Struktur link dari laman pelaksanaan
b. Teknik user session management
c. Teknologi laman pelaksanaan web
3. Physical View
Physical view mendeskripsikan pemetaan antara komponen yg masih ada pada development view ke lingkungan aplikasi web diletakkan. Aplikasi web mempunyai lingkungan yg sangat kompleks, yg terdiri berdasarkan komponen-komponen sebagai berikut:
a. Web browsers
b. Web servers
c. Application servers
d. Database
e. Object terdistribusi (seperti, Java Beans)
Pengguna aplikasi web menggunakan web browser menjadi interface buat bisa mengakses fungsi berdasarkan suatu aplikasi web. Sebuah browser mengirimkan permintaan (request) ke web server, mengirim-nya dengan menggunakan protokol HTTP. Sebuah web server memberikan permintaan tadi jika permintaan tersebut dapat dipenuhi secara pribadi, dengan melibatkan proses yang terdapat pada application server.
Seperti yang terlihat dalam Gambar, apabila pengguna ingin mengambil data yang terdapat pada databases, maka application server harus dilibatkan. Akhirnya web server menggunakan output yg sudah diperoleh menurut application server membentuk laman HTML serta mengembalikannya pada pengguna pelaksanaan web.
Gambar Physical View menurut Aplikasi Web
Protokol Web
Penetration testing merupakan teknik pengujian yang memanfaatkan kemampuan protokol di web, buat itu perlu pengenalan terhadap protokol yg digunakan dalam aplikasi web. Aplikasi-aplikasi berbasis web, umumnya menggunakan protokol: HTTP (Hyper Text Transfer Protocol) atau HTTPS (HTTP over Socket Secure Layer), menggunakan port yang biasa digunakan adalah port 80 (HTTP) serta port 443 (HTTPS).
HTTP
Setiap browser web serta server harus berkomunikasi melalui protokol ini,. Ada 3 versi protokol HTTP ini, dimana ketiganya mempunyai kecenderungan struktur dasar. HTTP merupakan protokol yg berkerja menggunakan metode request serta respon, yg bisa ditunjukan dalam pada Gambar.
Gambar Metode Request & Respon HTTP
Untuk mengenal lebih mendalam, masih ada beberapa metode yg dapat dilakukan sebagai request pada protocol HTTP. Metode tadi diantaranya: connect, delete, get, head, option, post, put, serta trace. Metode di atas difasilitasi oleh protokol HTTP 1.1. Untuk lebih jelas dapat dipandang pada Tabel.
Respon HTTP
Sebuah permintaan HTTP berdasarkan sebuah klien ditangani sang server serta direspon sang server tersebut. Untuk merespon, server akan mengirimkan pulang serangkaian komponen pesan yang bisa mengkategorikan menjadi berikut :
a. Kode respon— Angka yg bertalian pada sebuah tipe asosiasi respon.
b. Lokasi awal (Header fields)—berita tambahan mengenai respon.
c. Data—Isi berdasarkan respon.
Melalui tiga komponen tadi, sebuah browser klien dapat tahu respon dari server dan berinteraksi menggunakan server tadi.
Serangan Keamanan Aplikasi Web
Dunia internet ketika ini mengenal banyak jenis agresi yg dilakukan dan tak jarang merugikan. Jenis-jenis serangan terjadi selama ini bisa mengkategorikan pada empat kategori dari kriteria target agresi yaitu:
1. Interruption: agresi atas ketersediaan kabar. Penyerang mengganggu menggunakan melakukan penghentian genre berita kepada klien.
2. Interception: serangan atas kerahasiaan. Mengakses kabar yg bukan sebagai haknya adalah tujuan menurut agresi ini. Informasi dapat dipakai buat hal-hal yg merugikan pihak lain.
3. Modification: serangan atas integrasi suatu warta. Mengakses berita serta dapat pula mengganti isi kabar sebagai target serangan ini.
4. Fabrication: agresi terhadap proses autentifikasi. Membangkitkan objek palsu yg dikenal sebagai bagian menurut sistem adalah tujuan dari serangan jenis.
Gambar Jenis – jenis Serangan
Dari sisi motif tindakan, serangan yg terjadi bisa mengkategorikan dari jenis tindakan yg dilakukan, dan dikelompokkan menjadi sebagai berikut:
A. Ancaman Pasif
Serangan yg dilakukan lebih bersifat mengamati perilaku target, pada tahap ini penyerang berusaha mengenali setiap bagian target. Tindakan yang dilakukan antara lain:
a. Melepaskan serangkaian pesan ke target buat mengetahui respon target, serta menerima berita awal tentang target. Deteksi port merupakan galat satu contohnya.
b. Analisa trafik, dilakukan buat mengetahui pola trafik data pada target.
B. Ancaman aktif
Serangan yang dilakukan telah ditujukan buat berdampak eksklusif pada sasaran. Beberapa tindakan agresi yg banyak dikenal merugikan merupakan model berdasarkan tindakan ini. Berikut beberapa antara lain:
a. Masquerade, penyerangan dikenali sebagai bagian dari alias bukti diri yang berwenang.
b. Reply
c. Modifikasi isi pesan (Mengubah pesan layanan yang diberikan oleh sistem)
d. Denial of service (Menghilangkan kemampuan sistem buat menaruh layanan).
Aplikasi Web Joomla
Joomla merupakan keliru satu Content Management System (CMS) yang paling populer tersedia, gampang dipakai, sehingga memiliki keuntungan, yaitu pengguna-nya nir membutuhkan keterampilan serta kemampuan teknis yg tinggi buat memasak serta mengatur aplikasi web tadi. Selain itu aplikasi web Joomla adalah sebuah CMS yg mempunyai poly fitur, serta hal inilah yang mengakibatkan aplikasi web Joomla poly digunakan sebagai website suatu perusahaan atau organisasi, baik yg dipakai buat keperluan bisnis juga pendidikan.
Joomla dari dalam CMS yg bebas serta terbuka (free open source) ditulis dengan menggunakan bahasa pemrograman PHP dan basis data MySQL, buat keperluan di internet juga intranet. Joomla pertamakali dirilis dengan versi 1.0.0. Fitur-fitur primer Joomla antara lain merupakan manajemen pengguna, manajemen konten, layanan web (web services) serta lain sebagainya. Joomla juga menggunakan lisensi GNU General Public License (GPL).
Gambar Model View Controller (MVC) Joomla
Secara garis akbar Joomla terdiri dari tiga elemen dasar, yaitu server web (web server), skrip PHP dan basis data MySQL. Server web diasumsikan terhubung dengan Internet/Intranet yg berfungsi sebagai penyedia layanan pelaksanaan web. Skrip PHP terdiri dari kode acara dalam bahasa PHP, dan basis data adalah tempat penyimpanan konten. Joomla menggunakan Apache dan Microsoft IIS sebagai server web, dan MySQL untuk basis datanya. Paket Joomla terdiri menurut beberapa bagian yg terpisah serta dalam bentuk modul yang sangat fleksibel, yang bisa menggunakan mudah dikembangkan serta diintegrasikan. Gambar 8 adalah MVC menurut pelaksanaan web Joomla.
Threat Modeling
Threat Modeling adalah teknik yg cukup terkenal digunakan buat membantu desainer sistem mengetahui ancaman keamanan yang mungkin timbul pada suatu sistem atau pelaksanaan web-nya. Oleh karenanya pemodelan ancaman dapat dijadikan sebuah ukuran buat memperkirakan resiko yg mungkin terjadi dalam sebuah aplikasi web. Dalam kenyataannya pemodelan ancaman memungkinkan desainer dalam mengembangkan taktik buat mengatasi masalah dalam bagian dari aplikasi yg mudah diserang (vulnerabilities) dan membantu desainer supaya tetap penekanan dalam pengerjaan kebutuhan sistem aplikasi web yg terbatas sang sumber daya, dimana pelaksanaan web tersebut dituntut segera selesai.
Selain itu terdapat jua kelebihan serta kekurangan yang dimiliki oleh teknik pengujian pelaksanaan web yg dilakukan dengan mengunakan teknik pemodelan ancaman, merupakan menjadi berikut:
A. Kelebihan
a. Merupakan teknik yang ditinjau dari perspektif seorang penyerang (attacker) sistem pelaksanaan web.
b. Fleksibel
c. Dilakukan dalam permulaan SDLC
B. Kekurangan
a. Relatif adalah teknik baru
b. Pemodelan ancaman yang baik nir dilakukan secara otomatis sang perangkat lunak
Selain itu pemodelan ancaman adalah suatu metode yg digunakan buat mengenali atau mengetahui ancaman (Vulnerability), serangan (attack), serta kelemahan (vulnerabilities) yang berhubungan dengan pelaksanaan web. Pembentukan pemodelan ancaman dibagi ke dalam beberapa termin:
Identify Security Objectives
Tahap ke-1: identify security objectives, dilakukan buat mengetahui tujuan/kebutuhan keamanan pelaksanaan web, hal ini dipakai buat membantu menentukan aktivitas pemodelan ancaman, serta untuk menentukan berapa poly usaha pengujian yg perlu dilakukan.
Create Application Overview
Tahap ke-dua: Create Application Overview, dilakukan buat mengetahui karakteristik serta aktor pada pelaksanaan web, hal ini dipakai untuk membantu mengenali ancaman yang terdapat.
Decompose Application
Tahap ke-3: Decompose Application, dilakukan buat mengetahui prosedur pelaksanaan web secara lebih jelasnya, hal ini pula dipakai untuk membantu mengenali ancaman yg terdapat.
Identify Threats
Tahap Ke-4: Identify Threat, dilakukan buat mengenali ancaman yg ada, yaitu menggunakan menggunakan termin ke-dua serta ke-3.
Identify Vulnerabilities
Tahap Ke-5 Identify Vulnerabilities, dilakukan buat mengetahui kelemahan yang masih ada pada pelaksanaan web, hal ini dipakai buat membantu mengenali area yg terjadi kesalahan.
Gambar Proses Pembentukan Threat Modeling
Metodologi OWASP
Open Web Application Security Project (OWASP) adalah metodologi yang digunakan buat membantu melakukan pengukuran (assessment), audit atau penetration testing terhadap aplikasi Web. Metodologi OWASP memiliki poly keunggulan, karena pada perkembangannya OWASP selalu mengikuti perkembangan keamanan dari pelaksanaan web itu sendiri. Selain itu OWASP tidak terfokus hanya pada perangkat bantu, sebagai akibatnya menaruh kesempatan kepada pengguna buat think out side of the box.
OWASP Testing Framework
Menurut OWASP buat membentuk aplikasi web yg aman harus dilakukan proses pengujian pada setiap tahap pengembangan software atau aplikasi development live cycle (SDLC) [4], yg terdiri dari:
a. Sebelum pengembangan
b. Selama termin definisi dan desain
c. Selama pembangunan
d. Selama deployment
e. Ketika pemeliharaan dan operasional
Tahap 1: Sebelum Pengembangan
Sebelum proses pembangunan pelaksanaan web dimulai maka harus dilakukan hal berikut:
a. Pengujian standar, prosedur dan kebijakan keamanan yg akan digunakan selama pengembangan aplikasi web.
b. Membuat metrik dan kriteria pengukuran
c. Meninjau proses SDLC
Tahap 1A: Tinjauan Kebijakan dan Standar
Pada tahap ini pastikan bahwa kebijakan, standar dan dokumentasi yang dipakai sempurna. Dokumentasi merupakan hal yang sangat krusial, karena menaruh panduan kepada tim pengembang selama melakukan proses pembangunan aplikasi web.
Standar serta kebijakan yang akan dipakai tergantung dalam teknologi yang akan digunakan, lantaran tidak terdapat baku dan kebijakan yang bisa menanggulangi setiap situasi pengembangan pelaksanaan web. Sebagai model, apabila aplikasi yang akan dibangun memakai teknologi java, maka diharapkan dokumentasi mengenai baku keamanan buat pengkodean bahasa pemrograman java. Jika pelaksanaan memakai kriptografi maka dibutuhkan dokumentasi tentang baku kriptografi.
Tahap1B: Membuat Ukuran dan Kriteria Metrik
Sebelum pembangunan aplikasi web dimulai, maka harus ditentukan serta direncanakan ukuran program. Penentuan ukuran kriteria berguna untuk memilih kualitas aplikasi web yg dibuat, serta pula dapat diprediksi pengaruh yang mungkin terjadi dalam proses dan produk yg didapatkan, sehingga dapat segera dibuat keputusan tentang perubahan proses buat meminimalkan terjadinya kerusakan yg terjadi.
Tahap 2: Selama Definisi dan Desain
Tahap 2A: Tinjauan Kebutuhan Keamanan
Kebutuhan keamanan adalah keperluan pelaksanaan web yang dicermati berdasarkan perspektif keamanan. Pengujian terhadap kebutuhan keamanan sangat dibutuhkan buat melihat apakah terdapat hal yang belum terpenuhi antara kebutuhan keamanan baku dengan definisi kebutuhan yg sudah dibuat. Sebagai contoh kebutuhan keamanan pada aplikasi web adalah, pengunjung diharuskan terdaftar sebelum mereka bisa mengakses liputan-warta yg tersimpan pada aplikasi web tersebut. Menurut OWASP mekanisme kebutuhan sistem keamanan pada aplikasi web terdiri menurut:
a. User Management
Aspek keamanan pada pelaksanaan web yang mengatur pengguna dalam melakukan manajemen atau pengaturan terhadap fasilitas yg tersedia.
b. Authentication
Aspek ini herbi metoda buat menyatakan bahwa liputan betul-betul asli, orang yg mengakses atau memberikan liputan adalah betul-benar orang yg dimaksud, atau server yang dihubungi merupakan betul-benar server yg orisinil.
c. Authorization
Konsep keamanan dari aplikasi web yang memperbolehkan pengguna memakai asal daya (resources) jika telah diizinkan sang pemilik resources tadi. Salah satu bagian berdasarkan otorisasi merupakan akses kontrol. Aspek ini berhubungan dengan cara pengaturan akses kepada liputan. Hal ini umumnya herbi klasifikasi data (public, private, confidential, top secret) & pengguna (guest, admin, top manager, dan sebagainya), mekanisme autentikasi serta juga privacy. Access control sering dilakukan menggunakan memakai kombinasi user id/password atau dengan menggunakan prosedur lain (misalnya kartu, biometrics).
d. Data Confidentiality serta Privacy
Inti primer aspek privacy atau confidentiality merupakan usaha buat menjaga liputan dari orang yg tidak berhak mengakses. Privacy lebih ke arah data-data yang sifatnya pribadi sedangkan confidentiality umumnya herbi data yg diberikan ke pihak lain buat keperluan eksklusif (misalnya menjadi bagian berdasarkan registrasi sebuah layanan) dan hanya diperbolehkan buat keperluan eksklusif tadi. Contoh hal yang herbi privacy adalah e-mail seseorang pengguna tidak boleh dibaca oleh administrator. Contoh berita confidential adalah data-data yg sifatnya langsung (misalnya nama, tempat tanggal lahir, number keamanan, agama, status perkawinan, penyakit yg pernah diderita, angka kartu kredit, serta sebagainya) adalah data-data yang ingin di proteksi penggunaan dan penyebaran-nya. Contoh lain menurut confidentiality merupakan daftar pelanggan menurut sebuah Internet Service Provider (ISP).
Serangan terhadap aspek privacy contohnya merupakan bisnis untuk melakukan penyadapan (menggunakan program sniffer). Usaha-usaha yang bisa dilakukan buat menaikkan privacy dan confidentiality adalah menggunakan menggunakan teknologi kriptografi (menggunakan enkripsi serta dekripsi). Informasi tentang privacy yang lebih rinci bisa diperoleh berdasarkan situs Electronic Privacy Information Center (EPIC) serta Electronic Frontier Foundation (EFF).
e. Integrity
Aspek ini menekankan bahwa informasi nir boleh diubah tanpa se-biar pemilik informasi. Adanya virus, Trojan horse, atau pemakai lain yg membarui informasi tanpa ijin adalah contoh perkara yang harus dihadapi. Sebuah e-mail dapat saja ditangkap (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan istilah lain, integritas berdasarkan berita telah tidak terjaga. Penggunaan enkripsi dan digital signature, contohnya, bisa mengatasi masalah ini.
f. Accountability
Aspek keamanan dalam pelaksanaan web yg menekankan apakah fasilitas yang diberikan sudah sesuai dengan kebutuhan pengguna.
g. Session Management
Konsep keamanan pelaksanaan web yang mengatasi seluruh perkara yang berhubungan dengan pengguna mulai berdasarkan proses autentikasi hingga dengan pengguna meninggalkan pelaksanaan web.
h. Transport Security
Konsep keamanan dalam aplikasi web yang diterapkan buat mengatasi kasus yg herbi pengangkutan (transport) data yg sensitif yang disediakan sang aplikasi web, seperti session ID.
i. Tiered System Segregation
Aspek keamanan dalam pelaksanaan web yg menekankan pada keamanan pemisahan aset diantara penggunanya.
Tahap 2B: Tinjauan Desain serta Arsitektur
Tinjauan dokumen desain serta arsitektur pelaksanaan web bermanfaat buat memastikan bahwa desain dan arsitektur yang sudah dibentuk sudah menerapkan menggunakan tepat mekanisme keamanan yang sudah didefinisikan.
Tahap 2C: Membuat serta Meninjau Model UML
Setelah tahap desain dan arsitektur selesai dibuat, maka dilakukan pembuatan dan peninjauan terhadap Unified Modeling Language (UML) yg berguna buat mendeskripsikan bagaimana kerja pelaksanaan web.
Tahap 2D: Membuat dan Meninjau Pemodelan Ancaman
Setelah proses peninjauan desain, arsitektur serta deskripsi UML dilakukan, lalu selanjutnya dikerjakan menciptakan pemodelan ancaman, menggunakan cara menciptakan skenario nyata mengenai pemodelan ancaman yang mungkin terjadi dalam aplikasi web, menganalisis desain serta arsitektur buat meyakinkan apakah skenario ancaman yang dilakukan dapat ditangani oleh desain dan arsitektur yg terdapat, bila nir bisa ditanggulangi maka perlu dicermati pulang desain dan arsitektur buat dilakukan perubahan.
Tahap tiga: Selama Pengembangan
Pengembangan merupakan implementasi berdasarkan desain yang sudah dibentuk, maka pada tahap ini dilakukan proses pembuatan aplikasi berdasarkan dalam desain yang ada dan pedoman yang berisi informasi tentang standar, kebijakan, serta mekanisme yang sudah ditentukan sebelumnya.
Tahap 3A: Code Walkthroughs
Code Walkthroughs dilakukan sang tim keamanan yg bermanfaat buat memahami mekanisme, nalar, layout serta struktur dari kode yang menciptakan aplikasi web yang sudah dibentuk sang tim pengembang.
Tahap 3B: Peninjauan Kode
Setelah diketahui struktur kode yang menciptakan pelaksanaan web, maka selanjutnya penguji membandingkan struktur kode tersebut menggunakan kode keamanan sebenarnya. Peninjauan kode secara statik bisa dilakukan menggunakan membandingkan kode yg sudah dibuat menggunakan sekumpulan kriteria standar keamanan aplikasi web, diantaranya:
a. Kebutuhan bisnis buat availability, confidentiality, serta integrity.
b. Kriteria OWASP Top 10
c. Konflik spesifik yg berhubungan dengan bahasa pemrograman dan framework yang digunakan. Seperti Scarlet paper untuk PHP serta Microsoft Secure buat ASP.net.
d. Beberapa kebutuhan khusus industri, misalnya Sarbanes-Oxley 404, COPPA, ISO 17799, APRA, HIPAA, panduan Visa Merchant atau aturan-aturan standar industri lainnya.
Tahap 4: Selama Deployment
Tahap 4A: Application Penetration Testing
Setelah melakukan pengujian terhadap requirement, menganalisis desain dan melakukan code review, maka hal terakhir yang dilakukan merupakan penetrasi testing buat menilik dan meyakinkan tidak ada kesalahan yg terjadi dalam pelaksanaan web yang telah dibuat.
Tahap 4B: Configuration Management Testing
Configuration Management Testing merupakan bagian dari penetration testing yang berguna buat mengusut apakah infrastruktur dan desain yang ada telah pada terapkan secara kondusif.
Tahap lima: Maintenance serta Operations
Tahap 5A: Operational Management Reviews
Pada bagian ini dilakukan proses peninjauan terhadap manajemen operasional dalam bagian aplikasi dan infrastruktur.
Tahap 5B: Periodic Health Checks
Secara bersiklus inspeksi keadaan keamanan harus dilakukan dalam bagian pelaksanaan juga infrastruktur buat memastikan nir ada resiko keamanan baru yg terjadi serta buat memastikan apakah perlu dilakukan perubahan terhadap level keamanan yang dipakai.
Tahap 5C: Ensure Change Verification
Setelah setiap perubahan yang akan dilakukan telah disetujui, maka dilakukan verifikasi untuk tetapkan adanya perubahan terhadap level keamanan. Gambar 10 memperlihatkan SDLC testing workflow menurut metodologi OWASP.
Gambar OWASP Testing Framework Work Flow
Comments
Post a Comment