Dinas Kominfostandi Kota Bogor mengikuti Kegiatan Workshop Keamanan Aplikasi Berbasis Web pada hari Kamis s.d Jum’at, 4 s.d. Mei 2017 bertempat di Hotel MG Setos Semarang, Jl. Inspeksi, Gajah Mada, 50133 Semarang.

Peserta workshop terdiri dari Kementerian/Lembaga/Instansi antara lain: Kementerian Hukum dan Ham, Kementerian Kelautan dan Perikanan, Kementerian Sosial, Kementerian Agama, Kementerian ESDM, Kementerian Pertanian, Kementerian Pariwisata, Kementerian Perhubungan, Kementerian PUPR, Kementerian Pendidikan dan Kebudayaan, Kemenristek Dikti, Badan Pusat Statistik, BKKBN, Badan Kepegawaian Negara, Komisi Pemilihan Umum. Peserta dari Pemerintah Daerah di Provinsi Jawa Barat: Pemerintah Provinsi Jabar, Pemerintah Kota Bekasi, Pemerintah Kota Bekasi, Pemerintah Kota Tasik Malaya, Pemerintah Kabupaten Bekasi, Pemerintah Kabupaten Ciamis. Peserta dari Pemerintah Daerah di Jabodetabek: Pemerintah Provinsi DKI Jakarta, Pemerintah Kota Tangerang Selatan, Pemerintah Kota Depok, Pemerintah Kota Bogor. Peserta dari Pemerintah Daerah di Provinsi Jawa Tengah: Pemerintah Provinsi Jawa Tengah, Pemerintah Kota Semarang, Pemerintah Kota Pekalongan, Pemerintah Kota Magelang, Pemerintah Kota Surakarta, Pemerintah Kota Tegal, Pemerintah Kabupaten Magelang, Pemerintah Kabupaten Pekalongan

Workshop diawali dengan sambutan dari Staf Ahli Kementerian Komunikasi dan Informasi Bidang Hukum: Prof. DR. Hendri Sugiarto, SH. MA memaparkan bahwa kemajuan teknologi yang semakin pesat dan seiring kebutuhan informasi yang sekarang telah menjadi komoditi masyarakat, telah memunculkan ancaman, kerawanan dan potensi kegagalan layanan dan kerugian, dimana berdasarkan Indonesia Cyber Security Report 2017 oleh ID-SIRTII diperoleh data jumlah total serangan pada tahun 2016 sebanyak 135,672,948 (terjadi peningkatan dari 50% dari tahun 2015 jumlah total serangan 89,691,783 serangan). Oleh karena itu Keamanan Informasi dan Cyber Security menjadi salah satu agenda utama di Kementerian Komunikasi dan Informatika. Selanjutnya, sambutan sekaligus pembukaan Workshop dilakukan oleh Wakil Walikota Semarang Ibu Ir. Hj. Hevearita G. Rahayu.  

Materi Pertama disampaikan oleh Prof. DR. Hendri Sugiarto, SH. MA. mengenai isu keamanan dan bahaya Hoax yang saat ini menjadi ancaman dan tantangan di negeri ini. Selanjutnya materi Dasar Keamanan Aplikasi Berbasis Web disampaikan oleh Junior Lazuardi, seorang praktisi IT Indonesia, memaparkan bahwa keberadaan aplikasi yang memiliki tingkat keamanan rendah dapat membahayakan banyak hal penting. Misalnya, data finansial, layanan kesehatan, pertahanan, energi, bahkan infrastruktur krusial. Saat ini infrastruktur digital semakin kompleks dan semakin terhubung, menjadikan keamanan aplikasi berbasis web sebagai perhatian utama. 

OWASP (Open Web Application Security Project) adalah organisasi non-profit yang berfokus pada keamanan berbasis web. OWASP kemudian merilis daftar yang menyangkut keamanan tersebut dalam OWASP Top 10.
a.    Injection
Injeksi biasanya dilakukan dengan memasukkan data yang tidak terpercaya ke dalam interpreter sebagai bagian dari command atau query. Data yang dimasukkan dapat menipu interpreter untuk mengeksekusi perintah atau mengakses data rahasia tanpa izin.  

b.    Broken Authentication and Session Management
Fungsi pada aplikasi berbasis web yang berkaitan dengan autentifikasi dan manajemen sesi sering tidak terimplementasikan dengan baik akan menybabkan penyerang sistem mudah mencuri dan memanfaatkan password serta data pribadi lainnya.

c.    Cross-Site Scripting (XSS)
XSS terjadi ketika sebuah aplikasi mengakses data yang tidak terpercaya dan mengirimkannya lewat web tanpa ada konfirmasi validasi. Hal ini akan memberikan keleluasaan bagi penyerang sistem untuk menggunakan script dari browser guna mengakses web tanpa izin seperti mengarahkan ke website palsu atau situs berbahaya.

d.    Insecure Direct Object References
Ketika pengembang aplikasi mengekspos referensi ke dalam implementasi objek internal. Misalnya ke file, direktori, atau database key. Tanpa memiliki accsess control check dan perlindungan lain, penyerang dapat memanipulasinya untuk mengakses data rahasia.

e.    Security Misconfiguration
Sistem keamanan yang baik membutuhkan konfigurasi tambahan dan tidak menggunakan seting default pada aplikasi, framework, web server, aplikasi server, database server, hingga platform. dan pembaruan rutin software harus dilakukan.

f.    Sensitive Data Exposure
Aplikasi berbasis web yang belum melindungi data sensitif secara layak (data kartu kredit, pelanggan, data autentifikasi) bisa memungkinkan penyerang mencuri atau memodifikasi data untuk dakan penipuan, pencurian identitas, atau kriminalitas lain.

g.    Missing Function Level Access Control
Aplikasi berbasis web harus memverifikasi fungsi akses sebelum membuat fungsi tersebut ada di user interface. aplikasi juga perlu melakukan kontrol akses yang sama ke server tiap kali fungsi itu dijalankan. Apabila permintaan tidak terverifikasi, maka penyerang bisa dengan mudah mengakses fungsi privat tanpa izin.

h.    Cross-Site Request Forgery (CSRF)
Cara kerja CSRF adalah dengan memaksa masuk ke browser pengguna yang kemudian mengirimkan permintaan HTTP, termasuk cookies, serta berbagai informasi rahasia yang tersimpan di browser, ke aplikasi web gadungan. Hal ini akan membuat pengguna seolah-olah mengakses aplikasi tersebut secara langsung.

i.    Using Known Vulnerable Components
Penggunaan Komponen dasar seperti database, famework, dan berbagai modul dengan versi yang diketahui memiliki celah keamanan bisa menyebabkan kehilangan data dan pengambil-alihan server.

j.    Unvalidated Redirects and Forwards
Aplikasi berbasis web yang digunakan user seringkali melakukan redirect dan forward ke halaman lain atau bahkan website lain. Tanpa validasi yang benar, dapat mengarahkan user ke halaman phishing, malware, dan laman berbahaya.

Hari kedua Jum’at 5 Mei 2017 di buka dengan materi Pengenalan Open Web Application Security Project (OWASP) oleh ibu Intan Rahayu, Kasubdit Budaya Direktorat Keamanan Informasi, Kementerian Kominfo. Selanjutnya workshop diisi dengan pelatihan berupa Pengujian Keamanan Aplikasi Web dan Penyusunan Laporan Final Pentest yang disampaikan oleh seorang praktisi IT Indonesia Aat Shadewa.