OWASP Top 10 Desktop Application Security Risks adalah dokumen standar untuk pengembang, pemilik produk, dan insinyur keamanan (security engineers). Dokumen ini mewakili konsensus luas tentang risiko keamanan paling kritis untuk Aplikasi Desktop. Pada artikelnya, dikatakan bahwa Top 10 ini diakui secara global oleh pengembang sebagai langkah pertama menuju pengkodean yang lebih aman.
DA1 – Injections
Pada dokumen OWASP Top 10 Desktop App Sec Risks tahun 2021 ini juga mencantumkan Injeksi di posisi pertama. Jika kita lihat, ini sama dengan Top 10 pada aplikasi web pada tahun 2017. Namun sedikit berbeda dengan versi tahun 2021 untuk web, posisi pertama adalah Broken Access Control.
Pada keamanan aplikasi desktop, injeksi yang dimaksud kurang lebih sama. Contoh serangan injeksi yang mungkin terjadi adalah SQLi, LDAP, XML, OS Command, dll. Masalah-masalah tersebut terjadi saat input yang tidak tepercaya diteruskan ke interpreter (juru bahasa, haha) sebagai bagian dari kueri/perintah.
DA2 – Broken Authentication & Session Management
Kerentanan pada posisi kedua ini mencakup masalah seperti implementasi otentikasi tidak aman, bypass otentikasi, sesi yang tidak tepat (improper session), dll. Seorang penyerang dapat mengeksploitasi implementasi tidak aman untuk mengkompromikan sesi pengguna, kata sandi dan kunci atau untuk mengasumsikan identitas pengguna aplikasi.
DA3 – Sensitive Data Exposure
Pemaparan informasi sensitif yang tidak disengaja seperti PII (Personal Identifiable Information), secrets dan keys pada aplikasi, informasi finansial, informasi personal, dan juga informasi kesehatan. Penyerang bisa menggunakan informasi ini untuk melakukan penipuan. Banyak Aplikasi Desktop cenderung menyimpan informasi sensitif (seperti kunci enkripsi/string koneksi) dalam bentuk hardcode. Informasi disimpan di dalam executable file, file DLL, file konfigurasi, dan lainnya. Bahkan juga bisa tersimpan di dalam komentar karena pengembang lupa menghapus.
DA4 – Improper Cryptography Usage
Kerentanan seperti penggunaan algoritme kriptografi yang lemah, kunci atau rahasia yang lemah, fungsi kriptografi khusus, dan manajemen kunci yang tidak aman. Penyerang dapat melakukan downgrade dan mengeksploitasi untuk melakukan kriptanalisis. Semua kasus penggunaan seperti itu akan memungkinkan penyerang melakukan brute force atau menggunakan teknik umum untuk kriptanalisis. Dampak yang mungkin terjadi adalah pelanggaran kerahasiaan atau integritas data, karena melalui eksploitasi penyerang dapat mengambil informasi sensitif atau merusak data.
DA5 hingga DA10
Masih ada enam kerentanan lainnya. Kelanjutan pada pembahan OWASP Top 10 ini akan dituliskan pada artikel berikutnya. Berikut adalah daftar enam kerentanan yang belum dijelaskan.
- DA5 – Improper Authorization
- DA6 – Security Misconfiguration
- DA7 – Insecure Communication
- DA8 – Poor Code Quality
- DA9 – Using Components with Known Vulnerabilities
- DA10 – Insufficient Logging & Monitoring
Penutup
Demikian pembahasan megenai OWASP Top 10 Desktop Application Security Risks. Segala bentuk pertanyaan ataupun diskusi dapat dikirimkan melalui kolom komentar. Salam Kamsib!
