Deskripsi Tugas

Dari dokumen “OWASP Secure Coding Practices

Quick Reference Guide”, jelaskan 5 item yang anda pilih. Misal :
1. Input Validation -> Conduct all data validation on a trusted system adalah .... contoh penerapannya kalau
ada

Nama Materi
Adam Kharis Pratama Security Requirement

NIM Mata Kuliah

3411191014 SKPL

Kelas Hari dan Jam

DSE-A Selasa, 11 Oktober 2022 | 18:32 WIB
______________________________________________________________________________

5 OWASP Secure Coding Practices with Explanation

Session Management
Proses menangani beberapa permintaan dengan aman dari layanan aplikasi web dari pengguna
yang berbeda dikenal sebagai manajemen sesi.
Sesi bisa dibajak dengan cara mengakses ke session ID dari user, mereka bisa menyamar sebagai
user tersebut, biasa disebut dengan SESSION FIXATION.
Ini perlu diperhatikan bahwa sesi ID yang dibuat server adalah yang diterima oleh server web
kita. (Peretas dapat dengan mudah mendapatkan ID baru yang dibuat server dan meneruskannya
ke korban di URL yang dibuat.)
Contohnya kita menggunakan Bahasa java, kita bisa memodifikasi web.xml. dengan cara mengtrack
ID menggunakan cookies. Jika memungkinkan, you should also force your server to only track
session IDs over HTTPS, and timeout sessions after a period of inactivity.

To regenerate a session ID after authentication, call HttpSession.invalidate(), then create a new session

with HttpServletRequest.getSession(true).
File Management
Berikut ini adalah beberapa langkah dan teknik yang diberikan oleh OWASP:

Pastikan otentikasi saat mengunggah file di server.

File yang diunggah di server harus divalidasi dengan memeriksa header file.
Hak istimewa eksekusi harus dimatikan di direktori tempat file diunggah.
Jalur file absolut tidak boleh dikirim ke klien.

Authentication & Password Management

Identitas pengguna dikenali menggunakan proses otentikasi. Manajemen kata sandi melibatkan
seperangkat aturan dan teknik yang harus diikuti oleh pengguna saat menyimpan kata sandi
untuk menjaga kerahasiaan dan ketersediaan aset/sumber daya penting tertentu. OWASP
menyebutkan teknik yang berbeda untuk ini:

Memerlukan autentikasi untuk semua sumber daya/halaman yang tertaut ke CIA Triad.
Mencegah penggunaan kembali kata sandi.
Beri tahu pengguna saat penyetelan ulang kata sandi terjadi.
Laporkan jumlah kegagalan login kepada pengguna setelah login berhasil berikutnya.
Pertahankan waktu kedaluwarsa yang singkat untuk kata sandi sementara yang perlu diubah pada
login berikutnya.
Mengharuskan kata sandi ditetapkan berdasarkan kebijakan kompleksitas kata sandi.

Access Control
Kontrol akses adalah teknik keamanan di mana pengguna diberikan hak untuk mengakses
sumber daya atau sistem berdasarkan tingkat hak istimewa mereka. Dari berbagai, beberapa
teknik kontrol akses diberikan di bawah ini:
Hanya pengguna yang berwenang yang boleh memiliki akses ke URL yang dilindungi, layanan,
data aplikasi, data pengguna, atribut, dll.
Audit akun harus diterapkan dan akun yang tidak digunakan harus dihapus.
Akun yang terkait dengan layanan berbeda ke sistem eksternal atau internal yang terutama
digunakan untuk tugas-tugas non-kritis harus diberi hak istimewa paling sedikit.
Jumlah transaksi harus dibatasi untuk satu pengguna atau perangkat selama periode waktu
tertentu.

Data Protection
Perlindungan data adalah proses yang melibatkan pengamanan data penting dari perubahan,
kompromi atau kehilangan. Teknik berikut dapat digunakan untuk melindungi data untuk
menjaga kerahasiaan, integritas, dan ketersediaan:

Ikuti prinsip hak istimewa terkecil dengan membatasi hak pengguna dan hak istimewa untuk
sistem, informasi, dan kegunaan yang diperlukan untuk mencapai tujuan dan sasaran yang
diperlukan.
Kecualikan data sensitif dari permintaan GET yang ditemukan di HTTP.
Lindungi kode sisi server dan cegah agar tidak dapat diakses oleh pengguna biasa. Kontrol akses
yang tepat harus diterapkan untuk data penting dan sensitif.
Fitur pelengkapan otomatis harus dikecualikan saat memasukkan data ke dalam formulir di situs
web atau aplikasi.