FILE: materi-06.module

Web Security dan OWASP Top 10

Vulnerability terburuk di web app. Injection, broken auth, XSS. Wajib hafal untuk pentester.

RUNTIME: 30m LEVEL: intermediate STATUS: ACTIVE

1. Apa Itu OWASP

Open Web Application Security Project. Komunitas non-profit. Publish Top 10 list of web vulnerability paling kritis. Update tiap beberapa tahun. Standar industri untuk web security.

2. A01 Broken Access Control

User akses resource yang seharusnya tidak boleh. Contoh: ubah URL user ID dari 123 ke 124 dan lihat profile orang lain. Mitigasi: server-side authorization check yang ketat.

3. A02 Cryptographic Failures

Data sensitif tidak dilindungi dengan baik. Contoh: simpan password plain text, pakai algoritma lemah, kirim data sensitif via HTTP. Mitigasi: enkripsi at-rest dan in-transit.

4. A03 Injection

Input user dieksekusi sebagai code. SQL injection paling klasik. Command injection. NoSQL injection. Mitigasi: parameterized query, input validation, ORM yang aman.

5. XSS dan CSRF

Cross Site Scripting: inject JavaScript ke browser korban. Cross Site Request Forgery: paksa user lakukan action di situs lain. Mitigasi: output encoding (XSS), CSRF token (CSRF).

Practical Mission

Pelajari OWASP Top 10 versi 2021
Setup DVWA atau WebGoat untuk latihan
Coba SQL injection di lab DVWA
Pelajari Burp Suite Community Edition
Audit website kuliahmu (kalau diizinkan)

Recap Module

OWASP Top 10 standar industri
Broken access control nomor 1 di 2021
Injection klasik tapi masih ada
Cryptographic failures sering dari kelalaian
XSS dan CSRF di setiap web app