Mengamankan Aplikasi Web Modern: Ancaman dan Jenis Serangan

Mengamankan Aplikasi Web Modern: Ancaman dan Jenis Serangan

Jakarta, 13 May 2018

Mengamankan Aplikasi Web Modern: Ancaman dan Jenis Serangan

13 April 2018 oleh Robert Hamilton

 

Aplikasi Web Firewalls adalah kemampuan firewall tercanggih yang tersedia untuk tim TI. Menyebarkan WAF yang tepat adalah penting, terutama hari-hari ini ketika lansekap ancaman keamanan berubah begitu cepat.

 

Bab 1: Ancaman Aplikasi Saat Ini

Menetapkan tahap di bab pertama, e-book pertama menggambarkan ancaman aplikasi saat ini dan tantangan yang berasal dari metode terbaru dalam pengembangan aplikasi dan menjelaskan bagaimana aktor yang buruk mendapatkan akses untuk melakukan serangan.

 

Pustaka pihak ketiga - Pengembang aplikasi semakin menggabungkan pustaka dari kode sumber terbuka, dan penyerang terus mencari kerentanan yang dapat mereka manfaatkan di pustaka yang paling sering digunakan. Melacak mereka dari sudut pandang keamanan dan kerentanan merupakan tantangan yang meningkat karena peningkatan eksponensial jumlah perpustakaan yang digunakan dalam aplikasi.

 

Botnets - Penyerang semakin menggunakan kelompok-kelompok perangkat jaringan yang dikompromikan yang secara geografis tersebar dan berada di bawah kendali terpusat. Karena botnet berisi perangkat dari sejumlah besar alamat IP, mereka pada awalnya digunakan untuk membanjiri perlindungan DDoS yang didasarkan pada pemblokiran individu atau kelompok alamat IP. Dengan peningkatan kecanggihan, beberapa botnet digunakan bersama-sama untuk menembus jaringan di bawah perlindungan serangan DDoS. Ini dimungkinkan oleh ketersediaan botnet yang layanannya dapat dibeli di web gelap.

 

Kompromi Kredensial - Ketika kredensial dicuri dari situs yang diretas, mereka digunakan dalam serangan isian kredensial, dieksekusi melalui botnet, yang berupaya mengakses beberapa situs lain yang berharap pengguna telah menggunakan kredensial yang sama. Daftar kredensial ini juga tersedia untuk dibeli di web yang gelap. Setelah peretas mendapatkan akses ke akun, dia akan mencari kerentanan yang akan memungkinkan eskalasi ke akun istimewa yang memiliki akses administratif ke beberapa bagian sistem. Jika berhasil, pintu terbuka untuk akses lebih lanjut atau kompromi sistem.

 

Bab 2: Jenis Serangan

Karena serangan lapisan aplikasi secara inheren lebih kompleks daripada serangan lapisan jaringan dan menjadi semakin canggih, e-book pertama kali menyajikan daftar OWASP atas 10 risiko keamanan aplikasi, yang telah menjadi sumber pasti kerentanan keamanan lapisan aplikasi. Kami sebelumnya telah memerinci daftar 2017 terbaru. Di bawah ini adalah beberapa serangan tambahan yang dijelaskan di bab 2 eBuku.

 

Serangan Logika Bisnis

Sementara banyak kerentanan yang merepresentasikan vektor serangan dihasilkan dari bug implementasi, beberapa hasil dari cacat desain dalam persyaratan aplikasi atau arsitektur.

 

Kemungkinan contoh vektor serangan yang dihasilkan dari kelemahan tersebut meliputi:

 

Menghindari navigasi situs web. Dari URL situs seperti "http://site.com/initstep=1" sebelum peristiwa otentikasi, penyerang mungkin menyimpulkan bahwa memodifikasi ke "http://site.com/initstep=2" akan melompat ke langkah berikutnya , menghindari otentikasi.

Hak istimewa administrator tidak dilindungi. Beberapa sistem atau perangkat, seperti router rumah, dikirimkan dengan nama pengguna dan kata sandi default. Ketika tidak diubah, penyerang dapat masuk ke perangkat dan mengambil hak istimewa administratif.

Serangan DDoS dari Perangkat IoT

Serangan DDoS disebutkan dalam bab pertama, dan di sini fokusnya adalah pada tren yang muncul dari serangan yang lebih besar yang dimungkinkan oleh miliaran perangkat Internet of Things (IoT) yang memberikan kesempatan bagi para peretas untuk secara eksponensial meningkatkan ukuran botnet. Mereka diaktifkan oleh situs web dengan database perangkat IoT yang menunjukkan yang sedang online, dengan alamat IP dan kredensial default mereka. Lalu ada database dengan arsip kerentanan CVE, yang dapat dimanfaatkan pada perangkat tersebut.

 

Selain itu, setelah dikompromikan, perangkat itu sendiri adalah sumber potensial informasi penting.

 

Teknik Sosial

Sementara serangan phishing rekayasa sosial yang lama masih hidup dan baik, metode baru berkembang menggunakan teknologi terbaru. Sama seperti chatbots yang semakin memanfaatkan kecerdasan buatan untuk mengotomatisasi komunikasi dengan platform pesan dan asisten suara, penyerang dapat menggunakan teknologi yang sama untuk insinyur sosial secara real time, meningkatkan kemungkinan memunculkan respons.

 

Media sosial adalah vektor lain yang mendapatkan popularitas dengan peretas. Dari situs, seperti Facebook dan LinkedIn, penyerang dapat mengumpulkan informasi tentang target untuk lebih tepatnya melaksanakan rekayasa sosial.

 

Perangkat lunak perusak

Malware dapat didistribusikan secara otomatis dengan bantuan botnet besar. Ini termasuk ransomware yang menonaktifkan perangkat target dengan mengenkripsi datanya sampai pembayaran uang tebusan dibuat. Ancaman yang mengkhawatirkan adalah kemampuan ransomware untuk melangkah lebih jauh dan mengubah tanggal pada perangkat. Bayangkan serangan semacam itu pada perangkat IoT, seperti mengubah lampu utama persimpangan di kehendak atau melumpuhkan rem kendaraan otonom.

 

Keamanan Selama Fase Desain

Praktik terbaik untuk menghindari serangan aplikasi yang dijelaskan dalam e-book adalah memasukkan masalah keamanan dalam fase konsepsi dan desain perangkat lunak. Tim yang bekerja dengan cerita pengguna dapat menggabungkan kisah keamanan. Tim keamanan kemudian memiliki kesempatan untuk melakukan pemodelan ancaman terhadap cerita pengguna dan arsitektur yang diusulkan, yang dapat mengarah pada identifikasi fitur keamanan baru atau cerita. Akibatnya, ancaman keamanan diidentifikasi pada tahap awal, daripada mencoba menangani kelemahan keamanan yang diidentifikasi dalam pemodelan ancaman sesaat sebelum rilis.

 

Apa yang Ada di Depan?

Dalam menghadapi tantangan keamanan yang menakutkan ini, kabar baiknya adalah bahwa banyak teknologi yang sama digunakan untuk secara efektif mempertahankan diri dari serangan. Dalam posting yang akan datang kami akan menjelaskan kemajuan dalam Aplikasi Web Firewall yang memberikan perlindungan untuk berbagai serangan.

 

Sumber: https://www.imperva.com/blog/2018/04/securing-modern-web-applications-threats-and-types-of-attacks/

 

Sumber Gambar: https://www.imperva.com/blog/2018/04/securing-modern-web-applications-threats-and-types-of-attacks/

Other Articles

Copyright©2017 Blue Power Technology All Right Reserved.