Sabtu, 23 Desember 2017

AUDITING WEB SERVER & WEB APPLICATION

AUDITING
WEB SERVER
&

WEB APPLICATION


Web Server
·        Pengertian Web server
Server web atau yang dalam bahasa inggris disebut web server adalah merupakan perangkat lunak (software) dalam server yang berfungsi untuk menerima permintaan (request) berupa halaman web melalui protokol HTTP dan atau HTTPS dari client yang lebih dikenal dengan nama browser, kemudian mengirimkan kembali (respon) hasil permintaan tersebut ke dalam bentuk halaman-halaman web yang pada umumnya berbentuk dokumen HTML.
Dari pengertian diatas, dapat disimpulkan bahwa web server merupakan pelayan (pemberi layanan) bagi web client (browser) seperti Mozilla, Chrome, Internet Explorer, Opera, Safari dan lain sebagainya, supaya browser dapat menampilkan halaman atau data yang anda minta.

·        Fungsi Web Server
Fungsi utama dari web server adalah untuk mentransfer atau memindahkan berkas yang diminta oleh pengguna melalui protokol komunikasi tertentu. Oleh karena dalam satu halaman web biasanya terdiri dari berbagai macam jenis berkas seperti gambar, video, teks, audio, file dan lain sebagainya, maka pemanfaatan web server berfungsi juga untuk mentransfer keseluruhan aspek pemberkasan dalam halaman tersebut, termasuk teks, gambar, video, audio, file dan sebagainya.
Pada saat anda ingin mengakses sebuah halaman website, biasanya anda mengetik halaman tersebut di browser seperti mozilla, chrome dan lain-lain. Setelah anda meminta (biasanya dengan menekan enter) untuk dapat mengakses halaman tersebut, browser akan melakukan permintaan ke web server. Disinilah web server berperan, web server akan mencarikan data yang diminta browser, lalu mengirimkan data tersebut ke browser atau menolaknya jika ternyata data yang diminta tidak ditemukan.
Beberapa contoh web server yang paling banyak digunakan diantaranya adalah :
·        Apache
·        Apache Tomcat
·        Microsoft Internet Information Services (IIS)
·        Nginx
·        Lighttpd
·        Litespeed
·        Zeus Web Server
Fitur-fitur standar web server adalah :
·        HTTP
·        Logging
·        Virtual Hosting
·        Pengaturan Bandwidth
·        Otektifikasi
·        Kompresi Konten
·        HTTPS

·        Cara Memilih Web Server.
Untuk membuat sebuah web server, maka kita akan menemukan berbagai macam persoalan, dimulai dari pemilihan software web browser mana yang paling sesuai kebutuhan, apa saja spesifikasi hardware yang dibutuhkan, bagaimana kondisi interkoneksi jaringan internet yang ada, dan lain sebagainya. Belum lagi termasuk bagian pembuatan halaman-halaman webnya, mau menggunakan format apa (HTML, SGML, PHP, PHP3, CGI, dan lain-lain). Hal yang paling utama dalam proses pembuatan web server adalah memilih software mana yang akan digunakan sebagai web server kita. Untuk itu perlu adanya pertimbangan sebagai berikut:
1.      Lisensi dari software yang akan digunakan (freeware, shareware atau komersial).
2.      Kemudahan inst1alasi.
3.      Kemudahan dalam mengatur konfigurasi.
4.      Kemudahan untuk menambah atau mengubah peripheralnya.
5.      Kemampuan Software.
6.      Besar ruang yang dibutuhkan untuk menyimpan file-file minimal yang dibutuhkan agar software dapat berfungsi dengan baik.
7.      Prospek software tersebut dimasa yang akan datang.
8.      Performasi dan konsumsi sumber daya yang digunakan software itu.
9.      Fasilitas apa yang mampu didukung oleh software itu.
10.   Dukungan teknis (mempunyai site-site atau milis untuk bertanya bila terjadi masalah).
11.   Dukungan platform (jenis sistem operasi apa saja yang dapat menjalankan software tersebut).
12.   Dukungan terhadap third party (apakah software ini dapat ditambahkan software tambahan sebagai pelengkap).
Banyak sekali software web server yang dapat kita diambil di internet. Dengan berdasarkan pada 12 macam pertimbangan di atas, maka dapat dipilih software mana saja yang cocok dengan kebutuhan kita. Misalnya, kita memasang web server untuk keperluan suatu perusahaan jasa internet (ISP), maka pertimbangan yang harus diambil adalah apakah mereka menginginkan software yang gratis atau komersial. Keuntungan dari software komersial adalah mereka mempunyai dukungan teknis dan dokuentasi yang lengkap. Sedangkan pada kebanyakan software gratis mereka tidak menyertakan hal tersebut. Namun, ada juga software gratisan yang mempunyai dukungan teknis dari pembuatnya dan dengan dokuentasi yang lengkap. Salah satu software web server gratisan seperti itu adalah web server Apache.
Web Server Apache.
Apache merupakan web server yang paling banyak dipergunakan di Internet. Program ini pertama kali didesain untuk sistem operasi lingkungan UNIX. Namun demikian, pada beberapa versi berikutnya Apache mengeluarkan programnya yang dapat dijalankan di Windows NT. Berdasarkan sejarahnya, Apache dimulai oleh veteran developer NCSA httpd (National Center for Supercomputing Application). Saat itu pengembangan NCSA httpd sebagai web server mengalami stagnasi. ROB MC COOL meninggalkan NCSA dan memulai sebuah proyek baru bersama para webmaster lainnya, menambal bug, dan menambahkan fitur pada NCSA httpd. Mereka mengembangkan program ini lewat mailing list. Dengan berpijak pada NCSA httpd versi 1.3, Team Apache mengeluarkan rilis pertama kali secara resmi Apache versi 0.6.2. Tim inti pengembang Apache waktu itu :Web server Apache mempunyai kelebihan dari beberapa pertimbangan di atas :
1.      Apache termasuk dalam kategori freeware.
2.      Apache mudah sekali proses instalasinya jika dibanding web server lainnya seperti NCSA, IIS, dan lain-lain.
3.      Mampu beroperasi pada berbagai paltform sistem operasi.
4.      Mudah mengatur konfigurasinya. Apache mempunyai hanya empat file konfigurasi.
5.      Mudah dalam menambahkan peripheral lainnya ke dalam platform web servernya.
Fasilitas atau ciri khas dari web server Apache adalah
1.      Dapat dijadikan pengganti bagi NCSA web server.
2.      Perbaikan terhadap kerusakan dan error pada NCSA 1.3 dan 1.4.
3.      Apache merespon web client sangat cepat jauh melebihi NCSA.
4.      Mampu di kopilasi sesuai dengan spesifikasi HTTP yang sekarang.
5.      Apache menyediakan feature untuk multihomed dan virtual server.
6.      Kita dapat menetapkan respon error yang akan dikirim web server dengan menggunkan file atau skrip.
7.      Server apache dapat otomatis berkomunikasi dengan client browsernya untuk menampilkan tampilan terbaik pada client browsernya. Misalnya, browser ingin menampilkan dalam bahasa spanyol, maka web server apache otomatis mencari dalam servicenya halaman-halaman dengan Bahasa spanyol.
8.      Web server Apache secara otomatis menjalankan file index.html, halaman utamanya, untuk ditampilkan secara otomatis pada clientnya.
9.      Web server Apache mempunyai level-level pengamanan.
10.   Apache mempunyai komponen dasar terbanyak di antara web server lain.
11.   Ditinjau dari segi sejarah perkembangan dan prospeknya, Apache web server mempunyai prospek yang cerah. Apache berasal dari web server NCSA yang kemudian dikembangkan karena NCSA masih mempunyai kekurangan di bidang kompatibilitasnya dengan sistim operasi lain. Sampai saat ini, web server Apache terus dikembangkan oleh tim dari apache.org.
12.   Performasi dan konsumsi sumber daya dari web server Apache tidak terlalu banyak, hanya sekitar 20 MB untuk file-file dasarnya dan setiap daemonnya hanya memerlukan sekitar 950 KB memory per child.
13.   Mendukung transaksi yang aman (secure transaction) menggunakan SSL (secure socket layer).
14.   Mempunyai dukungan teknis melalui web.
15.   Mempunyai kompatibilitas platform yang tinggi.
16.   Mendukung third party berupa modul-modul tambahan.

·        Cara Kerja Web Server
Sederhananya tugas web server adalah untuk menerima permintaan dari client dan mengirimkan kembali berkas yang diminta oleh client tersebut. Seperti yang sudah saya informasikan diatas bahwa client yang dimaksud disini adalah komputer desktop yang memiliki atau telah menginstall web browser seperti Chrome, Mozilla, Opera dan lain-lain yang dapat terhubung ke web server melalui jaringan internet atau intranet.
Perangkat lunak web server terdapat pada komputer server, dan di komputer ini pula-lah data-data website tersimpan dengan rapih. Sama halnya dengan komputer client, komputer server juga harus terhubung dengan jaringan internet atau jaringan intranet untuk dapat diakses oleh client.
Pada saat client (browser) meminta data web page kepada server, maka instruksi permintaan data oleh browser tersebut akan dikemas di dalam TCP yang merupakan protokol transport dan dikirim ke alamat yang dalam hal ini merupakan protokol berikutnya yaitu Hyper Text Transfer Protocol (HTTP) dan atau Hyper Text Transfer Protocol Secure (HTTPS). Data yang diminta dari browser ke web server disebut dengan HTTP request yang kemudian akan dicarikan oleh web server di dalam komputer server. Jika ditemukan, data tersebut akan dikemas oleh web server dalam TCP dan dikirim kembali ke browser untuk ditampilkan. Data yang dikirim dari server ke browser dikenal dengan HTTP response. Jika data yang diminta oleh browser tersebut ternyata tidak ditemukan oleh web server, maka web server akan menolak permintaan tersebut dan browser akan menampilkan notifikasi error 404 atau Page Not Found.
Meskipun proses atau cara kerja web server diatas seperti sangat rumit, tapi pada prakteknya proses tersebut berlangsung dengan sangat cepat. Anda bahkan bisa sampai tidak menyadari bahwa pada saat anda meminta suatu halaman web, ternyata hal itu membutuhkan proses yang sangat panjang sampai halaman tersebut dapat anda lihat di browser anda.

Aplikasi Web
·        Pengertian Aplikasi web
Aplikasi web merupakan sebuah aplikasi yang mengunakan teknologi browser untuk menjalankan aplikasi dan diakses melalui jaringan komputer (Remick, 2011). Sedangkan meurut (Rouse, 2011) aplikasi web adalah sebuah program yang disimpan di Server dan dikirim melalui internet dan diakses melalui antarmuka browser. Dari pengertian diatas dapat disimpulkan aplikasi web merupakan aplikasi yang diakses mengunakan web berowser melalui jaringan internet atau intranet. Aplikasi web juga merupakan suatu perangkat lunak komputer yang dikodekan dalam bahasa pemrograman yang mendukung perangkat lunak berbasis web seperti HTML, JavaScript, CSS, Ruby, Python, Php, Java dan bahasa pemrograman lainnya.
Aplikasi Berbasis Web.

Keunggulan
1. Kita dapat menjalankan aplikasi berbasis web dimanapun kapanpun tanpa harus melakukan penginstalan.
2. Terkait dengan isu lisensi (hak cipta), kita tidak memerlukan lisensi ketika menggunakan web-based application, sebab lisensi telah menjadi tanggung jawab dari web penyedia aplikasi.
3. Dapat dijalankan di system operasi manapun. Tidak perduli apakah kita menggunakan linux, windows, aplikasi berbasis web dapat dijalankan asalkan kita memiliki browser dan akses internet.
4. Dapat diakses lewat banyak media seperti: computer, handheld dan handphone yang sudah sesuai dengan standard WAP.
5. Tidak perlu spesifikasi computer yang tingggi untuk menggunakan aplikasi berbasis web ini, sebab di beberapa kasus, sebagian besar proses dilakukan di web server penyedia aplikasi berbasis web ini.

Kekurangan
1. Dibutuhkan koneksi intranet dan internet yang handal dan stabil, hal ini bertujuan agar pada saat aplikasi dijalankan akan berjalan dengan baik dan lancer.
2. Dibutuhkan system keamanan yang baik dikarenakan aplikasi dijalankan secara terpusat, sehingga apabila server di pusat down maka system aplikasi tidak bias berjalan.

Aplikasi Berbasis Desktop

Keunggulan
1. Dapat berjalan dengan independen, tanpa perlu menggunakan browser.
2. Tidak perlu koneksi internet, karena semua file yang diperlukan untuk menjalankan aplikasinya sudah terinstall sebelumnya.
3. Dapat dengan mudah memodifikasi settingannya.
4. Prosesnya lebih cepat.

Kekurangan
1. Apabila akan menjalankan aplikasi, harus diinstal terlebih dahulu di komputer.
2. Bermasalah dengan lisensi. Hal ini membutuhkan lisensi yang banyak pada setiap computer
3. Aplikasi tidak dapat dibuka di computer lain, jika belum diinstall
4. Biasanya memerlukan hardware dengan spesifikasi tinggi.

Langkah Uji untuk Mengaudit Server Web
Setiap langkah mungkin atau mungkin tidak berlaku untuk server web Anda, namun Anda perlu meluangkan waktu untuk menentukan ini. Kami memeriksa aplikasi yang berjalan di server web dalam audit terpisah yang mengikuti yang satu ini.
1.      Pastikan server web berjalan pada sistem khusus dan tidak bersamaan dengan aplikasi penting lainnya. Host web yang disusupi memungkinkan penyerang untuk mengkompromikan aplikasi lain di server web Anda. Anda harus menggunakan mesin khusus untuk server web Anda. Misalnya, Anda tidak akan pernah ingin menginstal server web Anda pada kontroler domain.
Bagaimana?
Identifikasi dan diskusikan setiap aplikasi dengan administrator. Hati-hati mempertimbangkan kebutuhan bisnis yang sah agar aplikasi lain tetap berada di host yang sama seperti server web. Jika aplikasi ini harus hidup berdampingan, pertimbangkan untuk membawa masing-masing aplikasi tambahan ke dalam ruang lingkup audit.
2.       Pastikan server web telah sepenuhnya ditambal dan diperbarui dengan kode terbaru yang disetujui. Kegagalan untuk menjalankan sistem yang ditambal dengan memadai akan menjadi subyek server web dengan risiko kompromi yang tidak perlu dari kerentanan yang mungkin telah ditambal dengan rilis kode yang diperbarui.
Bagaimana?
Setiap organisasi memiliki sistem dan kebijakan pengelolaan patchnya sendiri. Pastikan server web menjalankan kode terbaru yang disetujui dengan bantuan administrator sesuai dengan kebijakan dan prosedur di lingkungan. Juga tinjau ulang kebijakan dan prosedur untuk permintaan tepat dan tepat waktu untuk menjaga dan memverifikasi sistem yang up to date dengan rilis kode terbaru. Juga identifikasi dan dokumen dengan bantuan administrator templat khusus / biner teknik yang belum dirilis untuk ketersediaan umum oleh vendor.

3.      Pastikan layanan, modul, objek, dan API yang tidak perlu dihapus atau dinonaktifkan. Layanan dan modul yang berjalan harus beroperasi di bawah akun yang paling tidak istimewa. Layanan, modul, objek, dan API yang tidak perlu menghadirkan area permukaan serangan tambahan, sehingga menghasilkan lebih banyak peluang bagi penyerang dan malware jahat.
Bagaimana?
Diskusikan dan verifikasi, dengan bantuan administrator, layanan yang tidak perlu dinonaktifkan dan layanan yang berjalan beroperasi dengan akun yang paling tidak memungkinkan. Verifikasi bahwa Protokol Transfer File (FTP), Protokol Transport Mail Sederhana (SMTP), Telnet, ekstensi server tambahan, dan layanan Network News Transfer Protocol (NNTP) dinonaktifkan jika tidak diperlukan. Anda bisa menggunakan netstat atau proses yang lebih kuat untuk utilitas pemetaan port. Banyak server web memiliki antarmuka manajemen yang kuat dimana Anda dapat meninjau modul dan plugin tambahan yang terinstal.Tinjau log dan file konfigurasi untuk memvalidasi modul yang hanya diperlukan diaktifkan. Tanyakan kebutuhan akan hal lain yang mungkin sedang berjalan.
4.      Pastikan hanya protokol dan port yang sesuai yang diizinkan untuk mengakses server web. Meminimalkan jumlah protokol dan port yang diizinkan mengakses server web mengurangi jumlah vektor serangan yang tersedia untuk kompromi server.
Bagaimana?
Diskusikan dengan administrator dan verifikasi dengan bantuan administrator bahwa hanya protokol yang diperlukan yang diizinkan mengakses server. Misalnya, tumpukan TCP / IP di server harus dikeraskan agar hanya mengizinkan protokol yang sesuai. NetBIOS dan Server Message Block (SMB) harus dinonaktifkan pada server IIS. Perhatikan adanya kontrol tambahan yang mungkin ada, seperti peraturan firewall atau Access Control Lists (ACLs) untuk membatasi protokol dan port yang diizinkan mengakses server web. Secara umum, hanya TCP pada port 80 (HTTP) dan 443 (SSL) yang diizinkan mengakses server web. Selain itu, dalam kasus-kasus tertentu, mungkin perlu untuk meninjau ulang ciphert yang dinegosiasikan yang diizinkan oleh transaksi Secure Sockets Layer (SSL). Tinjau keputusan ini dengan administrator.
5.      Pastikan akun yang memungkinkan akses ke server web dikelola dengan benar dan dikeraskan dengan kata kunci yang kuat. Akun yang tidak dikelola atau digunakan secara tidak tepat dapat memberikan akses mudah ke server web, melewati kontrol keamanan tambahan lainnya yang mencegah serangan berbahaya. Ini adalah langkah besar dengan cakupan yang luas, meliputi kontrol seputar penggunaan dan pengelolaan akun.
Bagaimana?
Diskusikan dan verifikasi dengan administrator bahwa akun yang tidak terpakai dihapus dari server atau dinonaktifkan sepenuhnya. Akun administrator pada server Windows harus diganti namanya, dan semua akun harus dibatasi dari remote login kecuali yang digunakan untuk administrasi.
Akun root pada host beraroma UNIX (Linux, Solaris, dan sebagainya) harus dikontrol secara ketat dan tidak pernah digunakan untuk administrasi jarak jauh secara langsung. Jangan pernah menjalankan server web Unix seperti Apache di bawah akun root. Mereka harus dijalankan di bawah pengguna dan grup yang berbeda seperti www-apache: www-apache. Silakan lihat Bab 7 untuk informasi lebih lanjut tentang akun root.
Secara umum, akun tidak boleh dibagi di antara administrator, dan administrator seharusnya tidak membagikan akun mereka kepada pengguna. Kebijakan akun dan sandi yang kuat selalu harus ditegakkan oleh server dan oleh aplikasi server web.
Pertimbangan tambahan untuk server web IIS termasuk memastikan bahwa IUSR_
Akun MESIN dinonaktifkan jika tidak digunakan oleh aplikasi. Kamu juga harus
buat akun anonim khusus tanpa hak istimewa jika aplikasi Anda memerlukan akses anonim. Konfigurasikan akun pengguna anonim terpisah untuk setiap aplikasi jika Anda meng-host beberapa aplikasi web.

6.      Pastikan kontrol yang sesuai ada untuk file, direktori, dan direktori virtual.
Kontrol yang tidak tepat untuk file dan direktori yang digunakan oleh server web dan sistem pada umumnya memungkinkan penyerang akses ke informasi dan alat lebih banyak daripada yang seharusnya tersedia. Misalnya, utilitas administrasi jarak jauh meningkatkan kemungkinan kompromi server web.
Bagaimana?
Verifikasi bahwa file dan direktori memiliki izin yang sesuai, terutama yang berisi
pengikut:
• Konten situs web
• Skrip situs web
• File sistem (seperti direktori% windir% \ system32 atau web server)
• Alat bantu, utilitas, dan perangkat pengembangan perangkat lunak
Contoh aplikasi dan direktori virtual harus dihapus. Diskusikan dan verifikasi dengan administrator bahwa log dan konten situs web disimpan pada volume nonsystem jika memungkinkan.
Juga verifikasi bahwa grup anonim dan setiap orang (perizinan dunia) dibatasi
kecuali yang mutlak diperlukan. Selain itu, tidak ada file atau direktori yang harus dibagi pada sistem kecuali jika diperlukan.
7.       Pastikan server web telah mengaktifkan logging yang sesuai dan diamankan
Membukukan peristiwa auditable membantu administrator untuk memecahkan masalah. Pembalakan juga memungkinkan tim respon insiden mengumpulkan data forensik.
Bagaimana?
Verifikasi dengan administrator bahwa jalur audit utama disimpan, seperti upaya logon yang gagal. Idealnya, log ini harus direlokasi dan diamankan dengan volume yang berbeda dari server web. File log juga harus diarsipkan secara teratur. Mereka harus dianalisis secara teratur, sebaiknya dengan alat otomatis di lingkungan TI yang besar

8.      Pastikan ekstensi script dipetakan secara tepat. Script mungkin memungkinkan penyerang untuk mengeksekusi kode pilihannya, berpotensi mengorbankan server web.
Bagaimana?
Verifikasi dengan administrator web bahwa ekstensi skrip yang tidak digunakan oleh server web adalah
dipetakan ke pawang halaman 404 atau hanya ditolak sama sekali. Contoh ekstensi yang mungkin atau mungkin tidak Anda gunakan meliputi .idq, .htw, .ida, .shtml, .shtm, .stm, .idc, .htr, dan .printer.

9.      Verifikasi keabsahan dan penggunaan sertifikat server yang sedang digunakan.
Sertifikat sisi server memungkinkan klien mempercayai identitas server web Anda atau bahwa web Anda server adalah siapa yang Anda katakan seharusnya server Anda. Sertifikat lama atau yang dicabut menyarankan bahwa situs web Anda mungkin atau mungkin tidak berlaku bagi pengguna akhir.
Bagaimana?
Verifikasi dengan bantuan administrator bahwa sertifikat apa pun digunakan sesuai keinginan mereka tujuan dan belum dicabut. Rentang data sertifikat, kunci publik, dan metadata semua harus valid Jika ada yang berubah, pertimbangkan kebutuhan akan sertifikat baru yang mencerminkan kebutuhan Anda saat ini.
Langkah Uji untuk Mengaudit Aplikasi Web
Bagian ini merupakan pendekatan terhadap audit aplikasi yang ditunjukkan oleh Open Proyek Keamanan Aplikasi Web (OWASP) Top 10.
Menurut situsnya, OWASP "didedikasikan untuk memungkinkan organisasi berkembang, membeli, dan memelihara aplikasi yang bisa dipercaya. "OWASP mempertahankan yang luar biasa jumlah informasi yang dapat membantu Anda mengembangkan program audit untuk Anda aplikasi web OWASP Top Ten dianggap sebagai seperangkat standar minimum ditinjau selama audit. Jangan membabi buta ikuti langkah-langkah di bagian ini.Desain aplikasi web Anda mungkin memerlukan pengujian tambahan termasuk parsial atau review kode penuh, pengujian penetrasi pihak ketiga, pemindai komersial, atau open source alat. Masing-masing dapat menawarkan beberapa jaminan tambahan bahwa aplikasi Anda dirancang dan dikonfigurasi dengan benar. Pertimbangkan nilai bisnis dari aplikasi web dan investasikan sumber daya yang sesuai untuk memastikan aplikasi Anda aman. Tambahan panduan tentang cara efektif menemukan kerentanan dalam aplikasi web disediakan dalam Panduan Pengujian OWASP dan Panduan Review Kode OWASP yang terdapat di www.owasp.org.
Desain aplikasi mendorong pentingnya langkah-langkah berikut. Kita asumsikan itu interaksi terjadi antara server web dan pengguna. Interaksi ini bisa terjadi dari login ke aplikasi atau melayani data yang diminta pengguna.
1.      Pastikan aplikasi web terlindungi serangan injeksi
Serangan injeksi memungkinkan klien web melewatkan data melalui server web dan keluar sistem lain Sebagai contoh, dalam serangan injeksi SQL, kode SQL dilewatkan melalui antarmuka web, dan database diminta untuk melakukan fungsi di luar batas Anda otorisasi. Beberapa situs telah membekap kartu kredit dan kartu Jaminan Sosial informasi kepada hacker yang telah memanfaatkan serangan injeksi. Gagal menyadari kekuatan serangan injeksi dan untuk meninjau ulang sistem Anda kemungkinan dieksploitasi dapat mengakibatkan hilangnya informasi kritis dan sensitif.
Bagaimana?
Diskusikan serangan injeksi dengan administrator dan pengembangan aplikasi web tim yang sesuai untuk memastikan bahwa mereka memahami bagaimana serangan tersebut berhasil, dan kemudian
Tanyakan bagaimana mereka menjaga serangan injeksi. Tidak ada alat yang dapat meninjau dan menemukan setiap kemungkinan serangan injeksi pada aplikasi web Anda, tapi Anda tetap bisa membela Anda sistem terhadap serangan semacam itu. Metode pertahanan berikut juga bisa tercantum di bawah Langkah audit berikutnya, meninjau skrip lintas situs:
• Validasi semua masukan dengan menggunakan metode validasi positif dimana Anda menolaknya masukan yang tidak sesuai dengan input yang diharapkan, seperti nilai, panjang, dan set karakter
• Lakukan review kode jika mungkin untuk semua panggilan ke sumber eksternal tentukan apakah metode itu bisa dikompromikan.
• Alat komersial tersedia yang dapat membantu menemukan kerentanan injeksi, seperti acunetix (www.acunetix.com). Alat ini sangat kuat dan mungkin bisa ditemukan Serangan yang terkenal, tapi tidak akan membantu seperti melakukan kode yang solid ulasan. Alat lain yang bisa membantu adalah Burp Suite dari www.portswigger. bersih. Burp Suite adalah alat yang hebat dan harus menjadi bagian dari toolset Anda.
• Pertimbangkan untuk menyewa bantuan pihak ketiga jika aplikasi sangat sensitif, Anda kekurangan sumber daya, atau Anda perlu memverifikasi barang seperti kepatuhan terhadap peraturan.
2.      Tinjau situs web untuk kerentanan cross-site-scripting. Cross-site scripting (XSS) memungkinkan aplikasi web untuk mengangkut serangan dari satu pengguna ke browser pengguna akhir lainnya. Serangan yang berhasil bisa mengungkapkan ujung kedua token sesi pengguna, menyerang mesin lokal, atau konten spoof untuk menipu pengguna. Serangan meliputi pengungkapan file pengguna akhir, menginstal program kuda Trojan, mengalihkan pengguna ke beberapa halaman atau situs lain, dan memodifikasi presentasi konten.
Bagaimana?
Serangan XSS sulit ditemukan, dan walaupun alat bisa membantu, mereka sangat tidak kompeten untuk menemukan semua kemungkinan kombinasi XSS pada aplikasi web. Sejauh ini yang terbaik Metode untuk menentukan apakah situs Anda rentan adalah dengan melakukan menyeluruh review kode dengan administrator Jika Anda meninjau kode tersebut, Anda akan mencari setiap jalur yang memungkinkan Masukan HTTP bisa masuk ke output ke browser pengguna. Kunci Metode yang digunakan untuk melindungi aplikasi web dari serangan XSS adalah memvalidasi setiap header, cookie, string kueri, bidang formulir, dan bidang tersembunyi. Sekali lagi, pastikan untuk menggunakan yang positif metode validasi CIRT.net berisi dua alat, Nikto dan plug-in Nessus, yang mungkin bisa Anda gunakan gunakan untuk membantu Anda mengotomatisasi sebagian tugas mencari kerentanan XSS di komputer Anda server web Perlu diingat bahwa alat ini tidak selengkap melakukan lengkap review kode, tapi setidaknya mereka bisa memberikan lebih banyak informasi kepada mereka yang tidak memilikinya keahlian, sumber daya, waktu, dan dolar untuk melakukan tinjauan lengkap. Nikod tersedia dari www.cirt.net/code/nikto.shtml Burp Suite dan banyak alat komersial lainnya yang mungkin membantu juga tersedia.

3.      Tinjau ulang aplikasi untuk otentikasi yang rusak dan kerentanan manajemen sesi. Kredensial akun dan token sesi harus dilindungi. Penyerang yang dapat mengkompromikan kata kunci, kunci, cookie sesi, atau token lainnya dapat mengalahkan batasan otentikasi dan menganggap identitas pengguna lain dan tingkat akses yang diotorisasi.
Bagaimana?
Diskusikan dengan administrator mekanisme otentikasi yang digunakan untuk otentikasi terhadap aplikasi web. Aplikasi web harus memiliki fasilitas built-in untuk menangani siklus hidup akun pengguna dan siklus pengguna sesi pengguna. Verifikasi bahwa fungsi helpdesk, seperti kehilangan password, ditangani dengan aman. Berjalan melalui implemen dengan administrator, dan kemudian meminta administrator untuk menunjukkan fungsinya kepada Anda.
Daftar prinsip panduan berikut mungkin sangat membantu ketika harus memeriksa mekanisme otentikasi yang digunakan di situs web. Ini terus mempertahankan relevansi meskipun ada banyak kemajuan dalam desain web dan produk yang menjanjikan pengelolaan pengguna dan sesi yang aman:

• Saat pengguna memasukkan kredensial yang tidak valid ke halaman login, jangan kembalikan barang yang salah. Tampilkan pesan umum, misalnya, "Informasi masuk Anda tidak valid!"
• Jangan pernah mengirimkan informasi login melalui permintaan GET. Selalu gunakan POST.
• Gunakan SSL untuk melindungi pengiriman halaman login dan transmisi kredensial.
• Hapus kode mati dan komentar yang terlihat dari sisi klien dari semua halaman.
• Jangan tergantung pada validasi sisi klien. Validasi parameter input untuk tipe dan panjang pada server, gunakan ekspresi reguler atau fungsi string.
• Query database harus menggunakan query parameterized atau prosedur yang tersimpan dengan benar.
• Koneksi database harus dibuat dengan menggunakan akun dengan hak istimewa yang lebih rendah. Aplikasi Anda tidak boleh login ke database menggunakan sa atau dbadmim.
• Salah satu cara untuk menyimpan kata sandi adalah dengan memasukkan kata sandi hash ke dalam database atau flat file menggunakan SHA-256 atau lebih dengan nilai SALT acak untuk setiap kata sandi.
• Meminta pengguna untuk menutup perambannya untuk memastikan informasi otentikasi header telah disiram.
• Pastikan cookies memiliki tanggal kedaluwarsa, dan jangan simpan kata sandi dengan teks yang jelas.

4.      Verifikasi bahwa referensi referensi dan otorisasi yang tepat telah diberlakukan. Aplikasi web dapat menggunakan nama sebenarnya atau kunci database sebagai referensi ke objek dalam aplikasi web atau database yang berisi informasi sensitif atau akses. Praktek terbaik adalah menggunakan referensi tidak langsung ke objek. Setelah pengguna diautentikasi ke server web, server web menentukan jenis akses yang harus dimiliki pengguna dan ke bagian mana dari situs web yang harus dimiliki pengguna. Kegagalan untuk menerapkan kontrol akses (otorisasi) ke masing-masing referensi objek langsung memungkinkan penyerang untuk keluar dari batas yang berwenang, mengakses data pengguna lain atau mengelola area yang tidak sah. Secara khusus, penyerang tidak boleh mengubah parameter yang digunakan selama sesi pengguna yang berwenang untuk mengakses data pengguna lain. Klien proxy dan alat lainnya memungkinkan penyerang untuk melihat dan mengubah data selama sesi berlangsung.
Bagaimana?
Alat otomatis dapat membantu beberapa, namun ulasan kode sejauh ini merupakan metode yang paling efektif untuk mengidentifikasi masalah ini. Kenyataannya untuk sebagian besar tim audit adalah hanya sedikit yang memiliki jam atau keterampilan yang dibutuhkan untuk menyisir kode untuk mengidentifikasi penggunaan referensi objek langsung dan tidak langsung, atau akses resmi pada umumnya. Alat yang mungkin bisa membantu meliputi Paros Proxy dari www.parosproxy.org dan Burp Suite. Keduanya memiliki cukup dokumentasi yang tersedia untuk menggambarkan bagaimana menggunakannya.
Pemeriksaan cepat untuk aplikasi rumahan adalah untuk mendiskusikan persyaratan kebijakan dengan administrator. Kegagalan untuk memiliki sebuah kebijakan atau dokumentasi tertulis lainnya untuk aplikasi rumahan adalah bendera merah pertama yang secara kuat menyarankan agar kontrol akses tidak diberlakukan dengan benar. Kontrol akses rumit dan sulit dilakukan dengan benar tanpa mendokumentasikan hasil yang Anda inginkan dengan cermat.

5.      Pastikan bahwa ada kontrol untuk mencegah Cross Site Request Forgery (CSRF atau XSRF).
Permintaan Permintaan Penggelapan Permintaan Penganiayaan memanfaatkan kepercayaan yang dimiliki situs web bagi pengguna yang diautentikasi. Penyerang memanfaatkan kepercayaan ini dengan mengirimkan gambar, skrip, elemen iframe, atau metode lain yang disematkan untuk memanggil perintah yang dijalankan di server web saat Anda masuk dengan kredensial Anda. Membuat keadaan menjadi lebih buruk bagi pengguna, jenis serangan ini berasal dari alamat IP pengguna, dan data yang masuk akan muncul seolah-olah pengguna yang masuk memasukkannya. Server web harus memvalidasi sumber permintaan web untuk memperkecil risikonya Penyerang mencoba membuat permintaan web jahat yang otentik yang berasal dari sumber di luar kendali aplikasi web. Berikut adalah contoh bagaimana jenis serangan ini mungkin terlihat sebagai permintaan gambar:
<img src = "http://mybank.com/transfer?acct=mine&amt=100&to=attacker">
Bagaimana?
Diskusikan dengan pengembang aplikasi web atau administrator web metodologinya digunakan untuk membuat token unik untuk setiap tautan dan formulir untuk fungsi yang mengubah keadaan.
Informasi yang dihasilkan oleh browser klien, seperti alamat IP atau cookie sesi, bukanlah tanda yang valid karena ini dapat disertakan dalam permintaan palsu. Tanpa token yang tidak dapat diprediksi, aplikasi web kemungkinan besar dikenai jenis serangan ini. Beberapa alat dapat bertindak sebagai proxy dan memungkinkan Anda melihat konten yang diposkan dari klien Anda ke server web jarak jauh. Salah satu alat tersebut adalah Paros Proxy. Jika Anda berulang kali mengulangi URL yang sama dari waktu ke waktu untuk mencapai hasil yang sama, aplikasi Anda mungkin rentan. Metode lain yang digunakan oleh penguji web profesional adalah meninjau penanganan permintaan selama pengkajian kode. Metode yang disukai untuk menangani token unik ada di luar URL, seperti di bidang tersembunyi. OWASP menyediakan alat bagi pengembang untuk membuat aplikasi yang membuat dan mengelola token unik dengan aman.

6.      Kaji ulang kontrol seputar menjaga konfigurasi yang aman.
Ini adalah tangkapan-semua yang membahas manajemen konfigurasi, konsep menyeluruh untuk menjaga konfigurasi aman server web. Kegagalan untuk mempertahankan subjek konfigurasi aman server web untuk dilewati dalam teknologi atau proses yang mempengaruhi keamanan platform web dan aplikasi web.
Bagaimana
Lakukan platform web dan audit server, dan bahas masalah yang dicatat oleh administrator. Tentukan apakah ada masalah yang dicatat karena manajemen konfigurasi yang tidak memadai. Diskusikan yang berikut dengan administrator untuk memastikan bahwa kontrol manajemen konfigurasi yang benar ada pada tempatnya:
• Mailing keamanan untuk server web, platform, dan aplikasi dipantau.
• Patch keamanan terbaru diterapkan dalam siklus patch rutin di bawah pedoman kebijakan dan prosedur tertulis dan disepakati.
• Ada panduan konfigurasi keamanan untuk server web, framework pengembangan, dan aplikasi di lingkungan yang mencakup pengelolaan akun default, komponen terpasang, dan pengaturan keamanan dan diikuti dengan ketat. Pengecualian didokumentasikan dengan seksama dan terjaga.
• Pemindaian kerentanan reguler dari perspektif internal dan eksternal dilakukan untuk menemukan risiko baru dengan cepat dan untuk menguji perubahan yang direncanakan terhadap lingkungan.
• Tinjauan internal rutin konfigurasi keamanan server dilakukan untuk membandingkan infrastruktur yang ada dengan panduan konfigurasi.
• Laporan status reguler dikeluarkan untuk manajemen atas yang mendokumentasikan postur keamanan keseluruhan server web. Standar konfigurasi server yang kuat sangat penting untuk aplikasi web yang aman. Luangkan waktu untuk memahami pengaturan keamanan yang tersedia dan cara mengkonfigurasinya untuk lingkungan Anda.
  1.  Pastikan mekanisme penyimpanan kriptografi aman digunakan dengan benar Aplikasi web sering kali ingin mengaburkan atau mengenkripsi data untuk melindungi data dan kredensial yang sensitif. Tantangannya adalah bahwa ada dua bagian untuk skema enkripsi: kotak hitam yang melakukan sihir dan penerapan kotak hitam ke dalam aplikasi web Anda. Komponen ini sulit untuk kode dengan benar, sering mengakibatkan lemahnya perlindungan.
Bagaimana
Mulailah diskusi dengan administrator web dengan meninjau sensitivitas data yang ingin Anda proteksi. Selain itu pertimbangkan apakah ada driver industri atau peraturan yang memerlukan enkripsi data. Diskusikan secara rinci dengan pengembang atau kaji dokumentasi dengan administrator untuk memvalidasi mekanisme enkripsi yang sesuai dengan standar yang berlaku yang diterapkan ke aplikasi web Anda. Skema proprietary umumnya dianggap tidak sesuai untuk mematuhi standar dan peraturan. Sebagian besar organisasi audit profesional akan menandai algoritma dan implementasi proprietary. Pastikan tingkat enkripsi setara dengan tingkat data yang ingin Anda proteksi. Jika Anda perlu melindungi data yang sangat sensitif seperti data kartu kredit, Anda harus menggunakan enkripsi sebenarnya dan bukan algoritma sederhana yang mengaburkan data.

  1. Pastikan kontrol yang benar ada untuk membatasi pemfilteran URL.
Kontrol ini menerapkan akses berbasis peran ke area sensitif dan terlindungi dari aplikasi web Anda. Pembatasan yang tidak ada atau tidak dikonfigurasi dengan benar ke URL sensitif memungkinkan penyerang mengubah URL untuk mengakses halaman pribadi atau istimewa. Penyaringan yang tepat memastikan bahwa hanya pengguna terautentikasi yang memiliki akses ke setiap laman terlarang sehingga diberi wewenang oleh peran mereka untuk dilihat. Seorang penyerang, yang mungkin pengguna sistem yang berwenang, seharusnya tidak dapat mengubah URL untuk melihat informasi di luar perannya.
Bagaimana
Setiap jenis halaman web, atau formulir web, harus diuji dengan pengguna yang terotentikasi dan anonim untuk memastikan bahwa hanya pengguna terotentikasi yang memiliki akses - dan hanya untuk apa yang diizinkan untuk dilihat. Verifikasi dan memetakan akses ke halaman istimewa, dan kemudian verifikasi autentikasi yang diperlukan untuk mengakses setiap halaman. Verifikasi bahwa sekali pengguna terautentikasi mengakses jenis laman yang pengguna terotentikasi dibatasi dengan tepat hanya pada laman tempat pengguna harus memiliki akses.

  1. Evaluasi mekanisme perlindungan lapisan transport (network traffic encryption) untuk melindungi informasi sensitif.
Percakapan pribadi bersifat pribadi hanya jika tidak ada orang lain yang bisa mendengarkannya. Sampai jaringan terenkripsi menjadi standar, protokol teks jernih harus dihilangkan jika memungkinkan. Meskipun peralatan baru dan administrator jaringan yang cerdas dapat membantu mengurangi risiko menguping lalu lintas jaringan, risiko nyata untuk menangkap lalu lintas tersebut tetap ada, terutama pada domain VLAN atau broadcast yang sama. Protokol tertentu seperti HTTP, FTP, dan Telnet mentransmisikan semua informasi dalam teks mentah, termasuk ID pengguna dan kata sandi yang diminta. Hal ini memungkinkan seseorang memperoleh informasi ini dengan menguping jaringan. Komunikasi teks jelas pada umumnya harus diminimalkan jika memungkinkan dan hanya protokol yang aman yang diperbolehkan untuk halaman pribadi.
Bagaimana
Sambungkan ke berbagai halaman pribadi dan pastikan bahwa koneksi yang dibuat ke aplikasi web dijamin dengan menggunakan protokol seperti SSL / TLS. Alat pemetaan port dapat digunakan untuk memantau koneksi tertentu ke aplikasi web dari klien. Anda dapat melihat output dari alat ini dan mendiskusikan hasilnya dengan administrator. OpenSSL juga dapat digunakan untuk memvalidasi ciphers dan versi yang tersedia.
Tanyakan kepada administrator tentang kebijakan akses layanan web dan berbagai metode akses untuk area pribadi aplikasi web, dengan fokus pada memastikan bahwa setiap metode akses dan komunikasi berkelanjutan dengan aplikasi web dilakukan dengan menggunakan protokol yang aman. Metode akses aman selama otentikasi memastikan bahwa informasi pengguna (seperti ID pengguna) dan token otentikasi (seperti kata sandi) akan dienkripsi. Komunikasi yang aman mencegah data dilihat oleh para penyadap. Minta administrator tentang cookie sesi untuk memverifikasi bahwa bendera aman diatur agar browser tidak mengirimkannya dengan jelas.
Tanyakan kebutuhan akan komunikasi teks yang jelas. Mungkin ada kasus ekstrem
dimana komunikasi teks jernih ada dan sulit dikeluarkan karena aplikasi alegacy atau lalu lintas tidak begitu penting. Namun, jika memungkinkan, sebuah protokol terenkripsi harus digunakan sebagai gantinya. Pengecualian harus sangat jarang dan terbatas pada kasus berbasis bisnis dimana manajemen senior bersedia masuk dan secara formal menerima risiko komunikasi teks jernih. Komunikasi terenkripsi mutlak diperlukan dalam beberapa kondisi tanpa pengecualian. Paket tersedia untuk hampir setiap skenario untuk mengenkripsi komunikasi.

OWASP menyarankan agar menghindari halaman yang menggabungkan SSL dan lalu lintas teks yang jelas. Banyak situs masih menyajikan halaman campuran, dan pesan pop-up cenderung membingungkan bagi pengguna. Lebih buruk lagi, ini mulai membuat pengguna tidak peka untuk munculan pesan saat browsing situs aman. Selanjutnya, sertifikat server harus sah, mutakhir, dan dikonfigurasi dengan benar untuk server web dan domain yang sesuai yang digunakan aplikasi web.

  1. Tinjau pengalihan aplikasi web dan ke depan untuk memverifikasi bahwa hanya URL yang valid yang dapat diakses.
Dengan menggunakan redirect yang tidak terkontrol, penyerang dapat mengalihkan pengguna ke situs web penyerang menggunakan URL yang terlihat seolah-olah berasal dari domain Anda. Ini adalah metode yang disukai untuk penipuan phishing agar permintaan muncul sah dengan menggunakan alamat organisasi yang diserang di bagian pertama URL yang dibuat. Ini terkadang digunakan bersamaan dengan layanan pemendek URL untuk situs target untuk mengaburkan maksud jahat URL. http://www.mydomain.com/redirect.asp?url=badsite.com
Dalam beberapa kasus, forward yang tidak terkendali dapat mengirim pengguna ke halaman istimewa yang jika tidak dapat diakses jika kontrol otorisasi tambahan diterapkan secara tidak benar. http://www.mydomain.com/somepage.asp?fwd=adminsite.jsp
Bagaimana?
Tinjau dengan administrator penggunaan pengalihan dan pengalihan dalam aplikasi web untuk menentukan apakah ada cara untuk menghindari penggunaannya atau menerapkan kontrol yang aman di sekitar penggunaannya. Pemindai otomatis dapat digunakan untuk secara otomatis memindai dan memverifikasi situs web untuk penanganan pengalihan dan ke depan yang tepat.
Perhatikan bahwa pengalihan dan ke depan disebut transfer dalam kerangka Microsoft .NET. OWASP merekomendasikan untuk memastikan nilai yang diberikan valid dan diotorisasi untuk pengguna saat pengalihan dan ke depan tidak dapat dihindari. Pengalihan buta dan ke depan berbahaya, dan kontrol harus membatasi tujuan keduanya. Ada banyak cara untuk menerapkan pengalihan dan ke depan dengan aman, namun tidak boleh dilaksanakan secara membabi buta.

Langkah Tambahan untuk Mengaudit Aplikasi Web
Langkah-langkah berikut adalah bagian dari daftar periksa OWASP asli dan dibahas dalam buku pertama buku ini. Umpan balik konsensus selama pemutakhiran materi ini adalah untuk mencermati keuntungan pembaca. Mereka tetap relevan dan sesuai untuk dipertimbangkan untuk aplikasi web Anda.

  1. Pastikan semua masukan divalidasi sebelum digunakan oleh server web.
Informasi harus divalidasi sebelum digunakan oleh aplikasi web. Kegagalan memvalidasi permintaan web mengarahkan server web untuk meningkatkan risiko dari penyerang yang mencoba memanipulasi data masukan untuk menghasilkan hasil yang jahat.
Bagaimana
Diskusikan dengan pengembang aplikasi web atau administrator web metodologi yang digunakan untuk validasi masukan untuk aplikasi yang Anda uji. Ada beberapa alat yang bertindak efektif sebagai proxy dan memungkinkan Anda melihat sebagian besar konten yang diposkan dari klien ke server web jarak jauh. Salah satu alat tersebut adalah Paros Proxy, terletak di www.parosproxy.org.
Metode lain yang digunakan oleh penguji web profesional adalah memahami pergerakan data selama pengkajian kode. Ini bukan sesuatu yang harus dianggap enteng karena mungkin berada di luar jangkauan dari apa yang ingin Anda capai. Ada tradeoff yang Anda sebagai auditor harus membuat mengenai jumlah usaha yang Anda masukkan ke dalam ini versus biaya data yang Anda lindungi.
Secara umum, dua cara untuk melihat metode validasi adalah metode negatif dan metode positif. Metode negatif berfokus pada mengetahui apa masukan buruk untuk disaring berdasarkan yang diketahui buruk. Masalah dengan penyaringan negatif adalah kita tidak tahu sekarang apa kerentanan dan metode masukan masa depan yang akan terjadi. Penyaringan positif jauh lebih efektif dan melibatkan pemusatan untuk memvalidasi data berdasarkan apa yang seharusnya. Ini serupa dalam pendekatan firewall yang menyangkal semuanya kecuali apa yang harus diterima.
Item umum untuk penyaringan positif mencakup kriteria yang mungkin Anda temukan di database atau tempat lain yang menerima data. Ini termasuk kriteria seperti
• Tipe data (misal: string, integer, dan real)
• Set karakter yang diizinkan
• Panjang minimum dan maksimal
• Apakah null diperbolehkan
• Apakah parameter itu diperlukan atau tidak
• Apakah duplikat diperbolehkan?
• Kisaran numerik
• Nilai hukum khusus (mis., Enumerasi)
• Pola khusus (misalnya, ekspresi reguler)

  1.  Evaluasi penggunaan penanganan error yang tepat.
Kondisi kesalahan yang tidak terkontrol dengan benar memungkinkan penyerang mendapatkan informasi sistem terperinci, menolak layanan, menyebabkan mekanisme keamanan gagal, atau merusak server.
Bagaimana?
Kesalahan penanganan yang tidak benar umumnya adalah fungsi untuk memiliki rencana terperinci yang ada selama pengembangan aplikasi untuk memusatkan dan mengendalikan semua metode masukan. Tanyakan kepada administrator bagaimana penanganan kesalahan dirancang ke dalam aplikasi web dan bagaimana kesalahan ditangani secara internal sebagai antarmuka aplikasi dengan fungsi terkotak-kotak lainnya. Misalnya, bagaimana aplikasi web menangani kesalahan yang dihasilkan oleh database? Apakah itu membuat perbedaan apakah database di-host secara internal oleh aplikasi sebagai lawan hosting database secara eksternal di server lain? Bagaimana aplikasi menangani kesalahan validasi masukan? Bagaimana dengan username dan password error?
Penanganan kesalahan seringkali lebih terkontrol jika dipusatkan sebagai lawan untuk mengkompartasikannya di beberapa objek atau komponen interworking. Penanganan kesalahan harus disengaja dan menunjukkan struktur selama pengkajian kode. Jika penanganan kesalahan tampak serampangan dan seperti renungan, maka Anda mungkin ingin melihat lebih dekat pada kemampuan aplikasi untuk menangani kesalahan dengan benar.
Alat dan Teknologi
Ada beberapa alasan mengapa produk otomatis gagal mengaudit semua komponen server web Anda, namun bukan berarti produk ini harus diabaikan. Review kode sebenarnya bisa berjalan sangat cepat untuk coders berpengalaman, tapi ini tergantung pada banyak variabel. Misalnya, bagaimana berpengalaman adalah coder? Seberapa baik resensi memahami aplikasi web? Seberapa baik resensi memahami konstruksi bahasa pemrograman yang digunakan untuk aplikasi? Seberapa kompleks aplikasi itu? Antarmuka eksternal apa yang ada, dan seberapa baik peninjau memahami antarmuka eksternal ini?
Jika Anda tinggal dan bermain di dunia ini, ulasan kode mungkin mudah bagi Anda. Jika Anda tinggal dan bermain di banyak dunia, Anda mungkin ingin mempertimbangkan untuk menambah pencarian Anda dengan alat otomatis, terutama jika Anda tidak memiliki anggaran untuk mendapatkan bantuan yang Anda tahu yang Anda butuhkan. Bagian dari perbedaan antara insinyur yang baik dan insinyur hebat adalah akal. Hanya karena Anda tidak punya uang tidak berarti Anda tidak bisa memanfaatkan alat dan komunitas disekitar Anda
Alat otomatis bisa sangat membantu dan membimbing Anda menuju bagian-bagian dari platform web atau aplikasi web Anda yang perlu ditinjau lebih lanjut. Kasus yang kuat dapat dibuat agar aplikasi baru harus diuji dengan ulasan dan alat bagus seperti yang tercantum di sini. Daftar ini hanya menggores permukaan dari apa yang ada di luar sana. Banyak pemindai kerentanan umum juga menguji kerentanan yang umum dieksploitasi.

Alat Website
Dasar pengetahuan
Di bawah ini Anda akan menemukan sumber tambahan di mana Anda dapat memperoleh informasi tentang lingkungan aplikasi web dan kontrol terkait. Banyak vendor menyimpan sejumlah besar informasi di situs mereka untuk konsumsi umum. Selain itu, komunitas penggemar dan forum sosial yang membantu terus berkembang.
Website Website

0 komentar:

Posting Komentar