Pengujian Keamanan Aplikasi Web White Paper

1. Aplikasi Web: Target yang menarik bagi peretas

Bagaimana cara Anda mempertahankan aplikasi web dari peretas secara efektif? Organisasi Anda bergantung pada aplikasi bisnis penting misi yang berisi informasi sensitif tentang pelanggan, proses



bisnis, dan data perusahaan. Beralih dari aplikasi klien / server yang dipatenkan ke aplikasi web memberi Anda platform pengiriman yang lebih sederhana, hemat biaya, dan sangat mudah

dikembangkan. Aplikasi ini lebih dari sekadar alat berharga untuk memberi daya pada operasi bisnis Anda; mereka juga merupakan sasaran yang berharga dan rentan bagi penyerang.

Aplikasi web semakin menjadi sasaran para penjahat dunia maya yang mencari keuntungan dari pencurian identitas, penipuan, spionase perusahaan, dan kegiatan ilegal lainnya. Dampak serangan bisa signifikan, dan termasuk:

o Gangguan layanan yang mahal dan memalukan

o Waktu henti

o Kehilangan produktivitas

o Data yang dicuriv
Denda pengaturan

o Pengguna yang marah

o Membuat marah pelanggan

Selain melindungi merek perusahaan, undang-undang federal dan negara bagian dan peraturan industri kini mengharuskan aplikasi web untuk dilindungi dengan lebih baik.

Ketika Anda mengambil tindakan untuk melindungi aplikasi web secara tepat waktu dan efektif, Anda harus menyeimbangkan kebutuhan keamanan dengan ketersediaan, kinerja, dan efektivitas biaya. Melindungi aplikasi web membutuhkan perlindungan nol hari dan respons cepat dengan dampak minimal pada pengoperasian tanpa memengaruhi kinerja atau mengubah arsitektur sistem.

2. Aplikasi web semakin rentan.

Pertumbuhan yang cepat menyebabkan masalah yang muncul

Jumlah aplikasi web perusahaan telah meningkat secara eksponensial dan sebagian besar organisasi terus menambahkan aplikasi baru ke dalam operasi mereka. Dengan pertumbuhan yang cepat ini muncul tantangan keamanan bersama yang didorong oleh kompleksitas dan inkonsistensi. Kesadaran baru mengenai kerentanan aplikasi web, berkat organisasi seperti Proyek Keamanan Aplikasi Web Terbuka (OWASP), telah membantu organisasi mengidentifikasi keamanan aplikasi sebagai prioritas. Tetapi menurut survei Juni, 2006 (www.symantec.com/ tentang / news / release / article.jsp? Prid = 20060919_01), sementara 70 persen pengembang perangkat lunak mengindikasikan bahwa majikan mereka menekankan pentingnya keamanan aplikasi, hanya 29 persen menyatakan bahwa keamanan selalu menjadi bagian dari proses pengembangan.

Kerentanan aplikasi online yang diabaikan

Sayangnya, bukan hanya kekurangan aplikasi yang membuat sistem rentan. Selain masalah aplikasi, setiap aplikasi web bergantung pada tumpukan besar komponen perangkat lunak komersial dan khusus. Sistem operasi, server web, database, dan semua komponen penting lainnya dari tumpukan aplikasi ini, memiliki kerentanan yang secara teratur ditemukan dan dikomunikasikan kepada teman dan musuh. Kerentanan inilah yang diabaikan sebagian besar organisasi ketika mereka mempertimbangkan keamanan aplikasi web.

Ketika kerentanan baru ditemukan, tambalan menjadi bagian penting dalam mengelola keamanan aplikasi. Proses manajemen tambalan rumit dan sulit dilakukan dengan sukses. Bahkan tim TI yang paling proaktif sering harus menugaskan kembali sumber daya penting untuk menyebarkan tambalan mendesak, mengganggu operasi normal. Waktu yang diperlukan untuk menambal secara bertanggung jawab memperpanjang jendela waktu yang dimiliki peretas untuk mengeksploitasi kerentanan tertentu. Dengan ribuan kerentanan dan tambalan diumumkan setiap tahun masalahnya terus bertambah. Bahkan organisasi dengan proses penambalan paling efisien yang ada tidak dapat mengandalkan ini sendirian untuk melindungi mereka dari serangan yang menargetkan kerentanan aplikasi web.

Peretas mencari jalan yang paling tidak resistan

Penyerang canggih hari ini menargetkan data perusahaan untuk keuntungan finansial dan politik. Mereka tahu mereka dapat lebih mudah mengeksploitasi kerentanan dalam tumpukan aplikasi web dibandingkan mencoba mengalahkan keamanan jaringan dan perimeter yang dibangun dengan baik. Peretas memiliki banyak sekali teknik kerentanan untuk digunakan termasuk:

o Injeksi SQL

o Skrip Lintas Situs

o Buffer Overflow,

o Penolakan Layanan

Jumlah kerentanan aplikasi dalam aplikasi komersial dan aplikasi open source tumbuh pada kecepatan yang mengkhawatirkan; di mana saja dari 200 hingga 400 kerentanan baru diidentifikasi setiap bulan.

Menurut zone-h.org, 45% serangan memanfaatkan kerentanan daripada masalah konfigurasi atau menggunakan kekerasan. Penyerang bekerja keras untuk menemukan dan mengeksploitasi kerentanan baru dalam technicaltalk web lebih cepat sehingga dapat ditambal. Jendela waktu, mulai dari saat seorang hacker mengidentifikasi kerentanan hingga ketika hal itu dikomunikasikan dan akhirnya ditambal, membuat pertahanan respons cepat - strategi yang penting untuk mencegah intrusi yang berpotensi merusak.

3. Diperlukan: Layanan pengujian keamanan aplikasi web online jarak jauh

Aplikasi web semakin rentan dan melindunginya membutuhkan sistem yang dapat:

o Pastikan kepatuhan hari ini

o memenuhi kebutuhan organisasi yang berkembang untuk hari esok

o Tanggapi dengan cepat

Untuk memenuhi tantangan ini, dengan solusi optimal harus menemukan kerentanan ini karena dilihat dari sudut pandang peretas. Oleh karena itu, layanan pengujian keamanan aplikasi Web online jarak jauh akan menjawab kebutuhan tersebut dengan baik.

Pemindaian keamanan aplikasi web harus mengungkapkan kerentanan untuk serangan ini:

o Injeksi SQL

o Injeksi SQL Buta

o Pengungkapan Jalur Instalasi

o. Pengecualian Bersih

o Perintah Eksekusi

o Injeksi Kode PHP

o Injeksi Xpath

o Injeksi CRLF

o Traversal Direktori

o Kesalahan Bahasa Skrip

o Pengalihan URL

o Inklusi File Jarak Jauh

o Injeksi LDAP

o Manipulasi Cookie

o Pengungkapan Kode Sumber

o Skrip
Lintas Situs o Skrip Lintas Bingkai

Pemindaian keamanan harus menguji kerentanan untuk berbagai komponen situs web:

o Server Web

o Teknologi Server Web

o Metode HTTP

o Cadangkan File

o Pencacahan Direktori

o Pengindeksan Direktori

o Akses Direktori

o Izin Direktori

o File Sensitif / Umum

o Aplikasi Pihak Ketiga

Layanan keamanan aplikasi web online harus:

o Menjelajahi seluruh situs web dari jarak jauh.

o Analisis setiap file.

o Buat daftar kerentanan yang ditemukan bersama dengan tingkat keparahan setiap kerentanan.

o Luncurkan serangkaian serangan web untuk menemukan keamanan.

o Sertakan opsi untuk membuat serangan yang dibuat khusus

o Mampu beradaptasi dengan konfigurasi situs web apa pun.

o Menghasilkan tes dinamis, yang akan membuat laporan yang relevan dari temuan pindai online.

o Berikan penilaian kerentanan yang terus diperbarui

o Sertakan Mesin Pencegahan Palsu Positif otomatis.

o Menyediakan Pembuatan Laporan yang Ditingkatkan untuk Perbandingan Pemindaian. - Harus menyertakan kemampuan untuk membuat perbandingan dan analisis tren kerentanan aplikasi web Anda berdasarkan hasil pemindaian yang dihasilkan selama periode waktu tertentu.

o Merekomendasikan solusi untuk memperbaiki, atau memberikan solusi yang layak untuk kerentanan yang diidentifikasi