OWASP Top 10 Series – A02 (Cryptographic Failures)

Avatar photo

Pada pembahasan kali ini saya tidak akan membahas dulu mengenai bug bounty writeup seperti artikel-artikel saya yang sebelumnya, namun mengenai salah satu kategori vulnerability yang termasuk dalam OWASP Top 10 yaitu A02 : 2021 Cryptographic Failures.

Bagi yang belum mengetahui apa itu OWASP (Open Web Application Security Project) adalah sebuah organisasi yang fokus pada keamanan web aplikasi. OWASP banyak menyediakan sumber daya agar kita bisa mempelajari lebih lanjut tentang keamanan web aplikasi.

Sebagai salah satu prinsipnya, OWASP memastikan bahwa semua informasi dan materi pembelajarannya bisa diakses dengan mudah dan gratis sehingga semua orang bisa meningkatkan keamanan website mereka. Materi yang mereka sediakan berupa dokumentasi, tools, video, dan forum.

Sebagai bukti dari itu semua, OWASP menyediakan beberapa dokumen untuk membantu para developer membuat website dan aplikasi yang aman. Diantaraya :

  1. OWASP Developer Guide
  2. OWASP Application Security Verification Standard (ASVS)
  3. Security Knowledge Framework
  4. Developer Cheat Sheet Series
  5. OWASP Top 10

Nah pada point ke-5 ini adalah salah satu resource OWASP yang paling terkenal yaitu OWASP Top 10 yang merupakan sebuah pengkategorian resiko kerentanan yang sering terjadi pada web aplikasi. Hal ini berguna untuk menjadi panduan bagi para developers dan security team mengenai kelemahan-kelemahan pada web applikasi yang rentan diserang dan harus segera disiasati.  Kategori yang akan saya bahas ini adalah A02 : 2021 “Cryptographic Failures.”

Cryptographic Failures diurutkan pada posisi kedua menggantikan Sensitive Data Exposure (2017), yang kalau saya amati ini pihak OWASP sendiri memilih sebuah akar masalah sebelum adanya kebocoran data, logikanya

“Jika ada data sensitive yang ter-expose itu bisa jadi karena kegagalan kriptografi yang tidak diimplementasikan dengan benar”

Hal ini sering terjadi negri 62 ini apalagi disektor pemerintahanya, saya kerap kali menjumpai berbagai web aplikasi yang pada service data nya tidak ada implementasi kriptografi yang baik seperti tidak adanya salt (unsalt)/kunci pada databasenya, menggunakan enkripsi database otomatis, tidak menggunakan SSL/TLS pada websitenya dan yang lainya.

Contoh Skenario Serangan :

Aplikasi mengenkripsi credential seperti username dan password dalam database menggunakan enkripsi database otomatis tanpa adanya sebuah key/salt ataupun menggunakan algoritma hash yang lemah. Namun, data ini secara otomatis didekripsi ketika diambil, jika terjadi serangan SQL Injection otomatis nomor kartu kredit dapat terlihat di dalam teks yang jelas.


Situs tidak menggunakan TLS untuk semua halaman atau mengunakan enkripsi yang lemah. Penyerang bisa memonitoring lalu lintas jaringan (misalnya, di jaringan nirkabel yang tidak aman), menurunkan koneksi dari HTTPS ke HTTP, mengintercept request, dan mencuri cookie sesi user. Penyerang kemudian memutar ulang cookie ini dan membajak sesi pengguna (authenticated), mengakses atau memodifikasi data pribadi pengguna. Alih-alih di atas mereka dapat mengubah semua data yang diangkut, misalnya, penerima transfer uang.


Mitigasi : 

Gunakan algoritma, protokol, dan kunci standar yang up-to-date, Manfaatkan skema enkripsi yang kuat dan  jika ada cacat dalam skema yang digunakan dalam aplikasi yang ada, pastikan untuk memperbaruinya. Nonaktifkan “caching” untuk respons yang berisi data sensitif. dan masih banyak cara yang lain, kalian bisa baca disini .

References :

List of Mapped CWEs :

  • CWE-261 Weak Encoding for Password
  • CWE-296 Improper Following of a Certificate’s Chain of Trust
  • CWE-310 Cryptographic Issues
  • CWE-319 Cleartext Transmission of Sensitive Information
  • More

 

Total
0
Shares
Leave a Reply

Your email address will not be published. Required fields are marked *

Previous Post

Judulnya : disuruh Pentest sama Dosen

Next Post

Revolusi Industri 4.0 Apa Itu?