Web App Pentesting Checklist: OWASP-Based Essentials

Keamanan aplikasi web adalah prioritas utama bagi setiap organisasi. Dengan meningkatnya ancaman siber, profesional keamanan harus dapat mengidentifikasi dan menguji kerentanan dalam suatu sistem. Berikut adalah checklist komprehensif berdasarkan standar OWASP untuk memastikan aplikasi web Anda aman dari berbagai eksploitasi.

1. Pengumpulan Informasi

   • Lakukan OSINT (Open-Source Intelligence) untuk mengumpulkan informasi awal.

   • Gunakan Google Dorks untuk menemukan informasi sensitif yang seharusnya tidak dapat diakses publik.

   • Identifikasi fingerprint server web, framework, dan teknologi yang digunakan.

   • Periksa metafile seperti robots.txt, sitemap.xml, dan sumber halaman untuk menemukan data yang terekspos.

   • Gunakan alat seperti Burp Suite atau Dirsearch untuk memetakan struktur situs dan endpoint tersembunyi.

2. Pengujian Konfigurasi dan Deployment

   • Periksa kredensial default dan konfigurasi yang salah.

   • Uji metode HTTP yang diperbolehkan dan pastikan implementasi HSTS (HTTP Strict Transport Security) sudah benar.

   • Analisis potensi pengambilalihan subdomain dan pastikan keamanan penyimpanan cloud.

   • Pastikan izin file telah dikonfigurasi dengan benar untuk mencegah akses yang tidak sah.

3. Pengujian Autentikasi dan Otorisasi

   • Evaluasi kebijakan kata sandi untuk memastikan tingkat keamanannya.

   • Uji mekanisme autentikasi yang tidak aman, seperti tidak adanya CAPTCHA atau OTP yang mudah ditebak.

   • Identifikasi kerentanan IDOR (Insecure Direct Object References) yang memungkinkan akses tidak sah ke data.

   • Cari celah privilege escalation yang memungkinkan pengguna meningkatkan hak akses secara ilegal.

4. Manajemen Sesi

   • Uji terhadap serangan session fixation dan hijacking.

   • Pastikan cookie sesi dikonfigurasi dengan flag Secure dan HttpOnly untuk mencegah pencurian sesi.

   • Verifikasi apakah sesi berakhir dan menjadi tidak valid setelah logout.

   • Uji kemungkinan serangan CSRF (Cross-Site Request Forgery).

5. Validasi Input

   • Identifikasi kerentanan seperti XSS (Cross-Site Scripting), SQL Injection, dan Remote Code Execution (RCE).

   • Uji kemungkinan Local/Remote File Inclusion, SSRF (Server-Side Request Forgery), dan Host Header Injection.

   • Gunakan payload dan teknik fuzzing untuk menguji validasi input di berbagai endpoint.

6. Pengujian Logika Bisnis dan Client-Side

   • Identifikasi celah dalam logika bisnis seperti parameter tampering dan unggahan file berbahaya.

   • Periksa kemungkinan serangan XSS berbasis DOM dan konfigurasi CORS (Cross-Origin Resource Sharing) yang tidak aman.

   • Pastikan aplikasi terlindungi dari serangan clickjacking.

7. Isu Umum Lainnya

   • Terapkan rate-limiting untuk mencegah serangan brute-force.

   • Uji keamanan implementasi 2FA (Two-Factor Authentication) dan OTP.

   • Periksa kemungkinan broken link hijacking dan kelemahan lain yang dapat dieksploitasi.
     
     Link WSTG-OWASP : DOCUMENT