www.kompasiana.com
Open in
urlscan Pro
2600:9000:2057:a400:d:e8bc:4b40:93a1
Public Scan
URL:
https://www.kompasiana.com/nuralfisyahrin/61db941c1b796c25b414e532/pentingnya-menambahkan-otorisasi-dan-autentikasi-dalam-p...
Submission: On January 23 via api from US — Scanned from DE
Submission: On January 23 via api from US — Scanned from DE
Form analysis 4 forms found in the DOM
GET https://www.kompasiana.com/search_artikel
<form action="https://www.kompasiana.com/search_artikel" method="get">
<div class="search-box" title="Pencaharian">
<div class="search-box-in clearfix">
<svg class="icon icon-search" id="icon_search">
<use xlink:href="#icon-search"></use>
</svg>
<input type="text" name="q" class="col-xs-12" id="text_search" aria-label="Search Article" placeholder="Pencarian" value="">
</div>
</div>
</form><form class="form text-left mt10 clearfix form-response" id="komen-submit">
<textarea placeholder="Tulis Tanggapan Anda..." class="form-control mb10" id="text"></textarea>
<div class="komentarDisc">Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE</div>
<div class="pull-right"><button id="submit" class="komentar-submit">KIRIM</button></div>
</form><form id="form-email">
<div class="kolom-newslt__desc" id="message">Daftarkan email Anda untuk mendapatkan cerita dan opini pilihan dari Kompasiana</div>
<div class="kolom-newslt__table">
<img width="39" height="55" data-src="https://assets.kompasiana.com/statics/2018_kompasiana/desktop/images/envelope.png" alt="icon" class="kolom-newslt__img lazyloaded"
src="https://assets.kompasiana.com/statics/2018_kompasiana/desktop/images/envelope.png">
<div class="kolom-newslt__email"><input placeholder="Email Anda" type="text" class="kolom-newslt__input" id="email"></div>
<button type="submit" class="kolom-newslt__btn" id="sendemail">Daftar</button>
</div>
</form><form class="reportpopupContent">
<h5 class="reportpopupTitle">LAPORKAN KONTEN</h5>
<div id="listChoiceReasonKonten">
<div class="radio">
<input id="radio-61557bfc91bd5b23220c6603" data-reason="Konten tidak orisinal/melanggar hak cipta" name="radio_reason" type="radio">
<label for="radio-61557bfc91bd5b23220c6603" class="radio-label">Konten tidak orisinal/melanggar hak cipta</label>
</div>
<div class="radio">
<input id="radio-61557c0991bd5b087c6f74a4" data-reason="Hate speech/menyerang/merugikan pihak lain" name="radio_reason" type="radio">
<label for="radio-61557c0991bd5b087c6f74a4" class="radio-label">Hate speech/menyerang/merugikan pihak lain</label>
</div>
<div class="radio">
<input id="radio-61557c1991bd5b2a2b7c5818" data-reason="Vulgar/menimbulkan perasaan tidak nyaman (pornografi, darah, data privat, dsb)" name="radio_reason" type="radio">
<label for="radio-61557c1991bd5b2a2b7c5818" class="radio-label">Vulgar/menimbulkan perasaan tidak nyaman (pornografi, darah, data privat, dsb)</label>
</div>
<div class="radio">
<input id="radio-61557c2591bd5b40651e4ad2" data-reason="Mengandung berita bohong/hoaks/misinformasi" name="radio_reason" type="radio">
<label for="radio-61557c2591bd5b40651e4ad2" class="radio-label">Mengandung berita bohong/hoaks/misinformasi</label>
</div>
<div class="radio">
<input id="radio-61557c3e91bd5b43df3c8553" data-reason="Promosi aktivitas ilegal/berbahaya (judi, aborsi, investasi bodong, bunuh diri, dsb)" name="radio_reason" type="radio">
<label for="radio-61557c3e91bd5b43df3c8553" class="radio-label">Promosi aktivitas ilegal/berbahaya (judi, aborsi, investasi bodong, bunuh diri, dsb)</label>
</div>
</div>
<div id="listChoiceReasonUser" style="display:none">
<div class="radio">
<input id="radio-61557adc91bd5b5a36011973" data-reason="Spamming" name="radio_reason" type="radio">
<label for="radio-61557adc91bd5b5a36011973" class="radio-label">Spamming</label>
</div>
<div class="radio">
<input id="radio-61557b9491bd5b27022316d7" data-reason="Akun ini palsu/menggunakan identitas orang lain" name="radio_reason" type="radio">
<label for="radio-61557b9491bd5b27022316d7" class="radio-label">Akun ini palsu/menggunakan identitas orang lain</label>
</div>
<div class="radio">
<input id="radio-61557ba091bd5b2a2b7c5817" data-reason="Akun ini membahayakan pihak lain" name="radio_reason" type="radio">
<label for="radio-61557ba091bd5b2a2b7c5817" class="radio-label">Akun ini membahayakan pihak lain</label>
</div>
<div class="radio">
<input id="radio-61557bba91bd5b26fc6b14d6" data-reason="Akun ini diretas" name="radio_reason" type="radio">
<label for="radio-61557bba91bd5b26fc6b14d6" class="radio-label">Akun ini diretas</label>
</div>
<div class="radio">
<input id="radio-61557bcb91bd5b087c6f74a3" data-reason="Akun menyebarkan kebencian (hate speech)" name="radio_reason" type="radio">
<label for="radio-61557bcb91bd5b087c6f74a3" class="radio-label">Akun menyebarkan kebencian (hate speech)</label>
</div>
</div>
<span id="word_alasan">Alasan</span>
<textarea id="laporkan-text-new" placeholder="Tulis Alasan Anda ..."></textarea>
<img id="laporkan-loading" style="display: none;margin-top:5px;margin-left:auto;margin-right:auto;" src="https://assets-a1.kompasiana.com/statics/2018_kompasiana/desktop/images/loader-small.svg" class="mb20">
<div class="reportpopupAction">
<a href="javascript:void(0)" class="reportpopupAction__button -reportbatal">Batalkan</a>
<a href="javascript:void(0)" id="laporkan-submit-new" class="reportpopupAction__button -reportlanjut">Laporkan</a>
</div>
</form>Text Content
Mulai Nulis
DAFTAR
* Kategori
Halo Lokal
* Halo Lokal
* Bandung
* Joglosemar
* Makassar
* Medan
* Palembang
* Surabaya
Life Hack Ekonomi
* Ekonomi
* Bisnis
* Finansial
Fiksiana
* Fiksiana
* Cerpen
* Novel
* Puisi
Gaya Hidup
* Gaya Hidup
* Fesyen
* Hobi
* Karir
* Kesehatan
Hiburan
* Hiburan
* Film
* Humor
* Media
* Musik
Humaniora
* Humaniora
* Bahasa
* Edukasi
* Filsafat
* Sosbud
Kotak Suara
* Analisis
* Kandidat
Lyfe
* Lyfe
* Diary
* Entrepreneur
* Foodie
* Love
* Viral
* Worklife
Olahraga
* Olahraga
* Atletik
* Balap
* Bola
* Bulutangkis
* E-Sport
Politik
* Politik
* Birokrasi
* Hukum
* Keamanan
* Pemerintahan
Ruang Kelas
* Ruang Kelas
* Ilmu Alam & Teknologi
* Ilmu Sosbud & Agama
Teknologi
* Teknologi
* Digital
* Lingkungan
* Otomotif
* Transportasi
Video Wisata
* Wisata
* Kuliner
* Travel
SEMUA RUBRIK
* TERPOPULER
* TERBARU
* PILIHAN EDITOR
* TOPIK PILIHAN
* JNE COMPETITION HOT
* EVENT
* ABOUT US
* AFFILIATION NEW
* content affiliation
* community affiliation
* Halo Lokal
Halo Lokal
* Bandung
* Joglosemar
* Makassar
* Medan
* Palembang
* Surabaya
*
*
*
*
* Life Hack
Life Hack
*
*
*
*
* Ekonomi
Ekonomi
* Bisnis
* Finansial
*
*
*
*
* Fiksiana
Fiksiana
* Cerpen
* Novel
* Puisi
*
*
*
*
* Gaya Hidup
Gaya Hidup
* Fesyen
* Hobi
* Karir
* Kesehatan
*
*
*
*
* Hiburan
Hiburan
* Film
* Humor
* Media
* Musik
*
*
*
*
* Humaniora
Humaniora
* Bahasa
* Edukasi
* Filsafat
* Sosbud
*
*
*
*
* Kotak Suara
Kotak Suara
* Analisis
* Kandidat
*
*
*
*
* Lyfe
Lyfe
* Diary
* Entrepreneur
* Foodie
* Love
* Viral
* Worklife
*
*
*
*
* Olahraga
Olahraga
* Atletik
* Balap
* Bola
* Bulutangkis
* E-Sport
*
*
*
*
* Politik
Politik
* Birokrasi
* Hukum
* Keamanan
* Pemerintahan
*
*
*
*
* Ruang Kelas
Ruang Kelas
* Ilmu Alam & Teknologi
* Ilmu Sosbud & Agama
*
*
*
*
* Teknologi
Teknologi
* Digital
* Lingkungan
* Otomotif
* Transportasi
*
*
*
*
* Video
Video
*
*
*
*
* Wisata
Wisata
* Kuliner
* Travel
*
*
*
*
* SEMUA RUBRIK
Konten Terkait
* PENTINGNYA KOMUNIKASI INTERPERSONAL DALAM MEMBANGUNG SEBUAH HUBUNGAN
* PENTINGNYA SUPPORT SYSTEM DALAM KEHIDUPAN SOSIAL
* KALAH 0-18 DAN TENGOKLAH PELAJARAN PENTINGNYA
* PENTINGNYA RISET DALAM DUNIA TULIS MENULIS
* PAHAMI PENTINGNYA "CROSS CULTURE UNDERSTANDING" DALAM PENDIDIKAN
* PENTINGNYA MENERAPKAN "FINANCIAL PLANNING" DALAM MENGELOLA KEUANGAN
Muhamad Nur Alfi Syahrin
FOLLOW
Lainnya - Penulis paruh waktu
Random people on the Internet
Selanjutnya
Tutup
Digital
PENTINGNYA MENAMBAHKAN OTORISASI DAN OTENTIKASI DALAM PENGEMBANGAN SISTEM
APLIKASI
10 Januari 2022 21:42 10 Januari 2022 21:42 Diperbarui: 21 Januari 2022
08:18 80 1 0
+
Laporkan Konten
Laporkan Akun
Lihat foto
Sumber: Will Porada on Unsplash
Perancangan dan pembangunan sebuah sistem aplikasi memerlukan suatu manajemen
pengelolaan data yang dapat menjamin kerahasiaan data milik penggunanya. Dalam
ranah kemanan siber terdapat konsep tiga serangkai CIA, berdasarkan pemaparan
dari OWASP Foundation (2016), konsep tiga serangkai CIA merupakan sebuah konsep
yang terdiri dari:
1. Confidentaly atau Keamanan Data;
2. Integrity atau Keutuhan Data, dan;
3. Availability atau Ketersediaan Data.
Konsep ini tidak dapat dipisahkan karena konsep ini merupakan fondasi dari
keamanan suatu sistem aplikasi dan ketiga istilah tadi saling berhubungan satu
dengan lainnya. Konsep ini seringnya juga diperpanjang oleh Otorisasi
(Authorization), Otentikasi (Authentication), dan Auditing. Perpanjangan konsep
ini dikarenakan Otorisasi dan Otentikasi akan saling melengkapi konsep tersebut,
sedangkan Auditing memiliki fungsi untuk menyediakan kepastian berupa bukti
interaksi pada sebuah sistem aplikasi .
Sebagaimana dikutip dari OWASP Foundation (2016), Otorisasi dan Otentikasi
merupakan dua hal yang berbeda, sederhananya Otorisasi merupakan mekanisme
pemberian hak istimewa (privileges), ataupun peranan pengguna dalam sebuah
aplikasi untuk mengakses, merubah, atau memodifikasi data, maupun fungsi dalam
suatu aplikasi, sebelum dijalankannya proses Otorisasi biasanya aplikasi akan
terlebih dahulu melakukan proses Otentikasi. Sedangkan Otentikasi adalah sebuah
mekanisme yang dapat memverifikasi berdasarkan identitas yang otentik pada suatu
pengguna. Dengan demikian secara mekanisme, Otentikasi dan Otorisasi akan saling
melengkapi dalam mengelola peranan pengguna dalam mengakses, merubah, ataupun
memodifkasi suatu fungsi ataupun data dalam sebuah aplikasi.
Meskipun pada akhirnya terdapat juga kerentanan-kerentanan yang menargetkan
mekanisme Otorisasi dan Otentikasi seperti Broken Authentication, namun
penerapan Otorisasi dan Otentikasi dalam suatu sistem aplikasi tentu akan
meminimalisir adanya kebocoran data, misalkan berupa kerentanan Referensi Objek
Tidak Langsung atau IDOR (Insecure Direct Object References). Sebagai contoh
penulis akan mempraktikannya secara legal dalam aplikasi CTF (Capture the Flag)
Postbook milik Hackerone.com. Tujuan dari praktik ini adalah untuk merubah
konten seorang Administrator Website melalui kerentanan IDOR (Insecure Direct
Object References).
Penulis akan membuat terlebih dahulu sebuah akun dummy dengan username
@testakun, dan membuat sebuah konten pada aplikasi. Dalam proses ini diketahui
bahwa akun @testakun memiliki parameter id (id=4) dalam url konten tersebut, hal
ini menandakan bahwa akun yang penulis buat secara tidak langsung menandakan
bahwa penulis telah membuat akun keempat setelah tiga akun sudah dibuat oleh
pengguna lain. Untuk memastikan bahwa penulis merupakan pengguna keempat dalam
aplikasi, dapat dilihat pada id milik pengguna lain yang dapat dilihat dalam
gambar berikut.
Parameter id=4 pada user @testakun | Sumber: Dokumentasi Penulis
Parameter id=1 pada user @admin | Sumber: Dokumentasi Penulis
Parameter id juga digunakan bila akan mengedit konten yang akan diunggah pada
aplikasi Postbook. Untuk mendeteksi adanya kerentanan IDOR, penulis akan merubah
konten Administrator Website. Menggunakan Burp Suite, penulis akan melakukan
penyadapan HTTP Request Header pada bagian edit konten milik penulis dan
memanipulasi parameter id penulis (id=4) seolah-olah parameter id tersebut
merupakan parameter id milik Administrator Website (id=1), proses manipulasi
dapat dilihat pada gambar berikut.
Memanipulasi Parameter id=4 Menjadi id=1 melalui HTTP Request Header | Sumber:
Dokumentasi Penulis
Hasil dari manipulasi parameter ini menunjukan bahwa tidak adanya mekanisme
Otorisasi serta Otentikasi dalam Aplikasi Postbook. Penyerang dapat memanfaatkan
kerentanan IDOR yang disebabkan tidak terfilternya parameter id dan bisa
digunakan untuk tujuan memanipulasi, ataupun mengakses secara leluasa sistem
aplikasi. Hal ini dapat dilihat dari potensi penulis untuk merubah unggahan
seorang Administrator Website melalui manipulasi parameter id tanpa adanya
proses Otentikasi untuk memverifikasi siapa penulis, dan tidak adanya Otorisasi
sebagai mekanisme pemberian akses bagi penulis untuk mengakses parameter id=1
didalam url edit konten aplikasi Postbook.
HALAMAN :
1. 1
2. 2
3.
LIHAT SEMUA
Lihat Digital Selengkapnya
BERI NILAI
Bagaimana reaksi Anda tentang artikel ini?
Aktual
Bermanfaat
Inspiratif
Menarik
Menghibur
Unik
Belum ada penilaian.
Jadilah yang pertama untuk
memberikan penilaian!
Ikhwanul Halim
Menarik
Lebih Sedikit
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya
menjadi tanggung jawab komentator seperti diatur dalam UU ITE
KIRIM
--------------------------------------------------------------------------------
Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
Lihat Semua Komentar (0)
KOMPASIANA ARENA
* IKUTI KUIS ALLIANZ DAN RAIH HADIAHNYA!
* ISI KUIS QATAR AIRWAYS DAN DAPATKAN HADIAH 5 JUTA RUPIAH!
VIDEO PILIHAN
KOMPASIANA ADALAH PLATFORM BLOG, SETIAP ARTIKEL MENJADI TANGGUNGJAWAB PENULIS.
TAG
OTORISASI
KEBOCORAN DATA
SISTEM APLIKASI
OTENTIKASI
APLIKASI DIGITAL
DIGITAL
LABEL
OTORISASI
KEBOCORAN DATA
SISTEM APLIKASI
OTENTIKASI
APLIKASI DIGITAL
DIGITAL
RESPONS : 0
ARTIKEL LAINNYA
Konten Sponsor
Tausende von Fußballern sind neidisch auf ihre Beziehung
Catwoman in der realen Welt: Nicht so, wie du es dir vorstellst
Niemand erinnert sich, wie "Supernatural" begann
Julia Holz lehrte, wie man nach dem Krebs lebt
Wie hat Julia Holz gegen Krebs gewonnen? Echte Tatsache
Aud der Orientierung eine Karriere machen: Lesbenblog auf Tik-Tok
Pentingnya Komunikasi Interpersonal Dalam Membangung Sebuah Hubungan
Pentingnya Support System dalam Kehidupan Sosial
Daftarkan email Anda untuk mendapatkan cerita dan opini pilihan dari Kompasiana
Daftar
FEATURED ARTICLE
UTAK-ATIK PEGAWAI HONORER
Syahirul Alim
394
Populer Rekomendasi
1
KENALI "PENYAKIT GAYA HIDUP", AGAR DAPAT DICEGAH DAMPAK BURUKNYA SEJAK DINI
Tovanno Valentino
Dibaca 1393
* 2
PENGGEMAR RASSYA HIDAYAH DAN AQEELA CALISTA MENERBITKAN BUKU, SYAQEEL BANGGA?
Novita Aryani
Dibaca 259
* 3
MENGAPA PANGGILAN "ROMO " TIDAK POPULAR DI PADANG?
TJIPTADINATA EFFENDI
Dibaca 232
* 4
ADA 5 ALASAN TIDAK PERLU BENCI PRODUK LUAR NEGERI
Inosensius I. Sigaze
Dibaca 211
* 5
JIKA KEPALA MASUK, MAKA BADAN PASTI LOLOS
Budi Susilo
Dibaca 187
Selengkapnya
1
GURU HONORER ADALAH SEJATINYA PAHLAWAN TANPA TANDA JASA
Isur Suryati
Dibaca 84
* 2
TERPERANGAH DAN HIKMAH PENGHAPUSAN TENAGA HONORER 2023
Suyito Basuki
Dibaca 153
* 3
KETIKA NASIB PEGAWAI HONORER BERUBAH MENJADI "HOROR-ER"
Hanif Sofyan
Dibaca 155
* 4
MERAMAL NASIB HONORER TAHUN 2023
Amira Alaniyah
Dibaca 84
* 5
PAK JOKOWI, BERILAH KEMUDAHAN HONORER MENJADI P3K
rokhman
Dibaca 72
Selengkapnya
NILAI TERTINGGI
JIKA KEPALA MASUK, MAKA BADAN PASTI LOLOS
Budi Susilo
MENTARI SENJA
Tati AjengSaidah
MENGAPA PANGGILAN "ROMO " TIDAK POPULAR DI PADANG?
TJIPTADINATA EFFENDI
ADA 5 ALASAN TIDAK PERLU BENCI PRODUK LUAR NEGERI
Inosensius I. Sigaze
NANO PUISI: MENETESI MATA KATA-KATA
Bambang Syairudin
TERBARU
NADAL KE R4, ZVEREV TERHENTI DI R3 AO 2022
Syamsurial Sad
0
WUJUDKAN PESANTREN DAN TAHFIZ MIFTAHUL IQRAL DENGAN SEMANGAT GOTONG ROYONG
Damanhuri Ahmad
0
JELAJAH MUSEUM LAYANG-LAYANG, BUKAN SEKADAR MENEMUKAN LAYANGAN PUTUS
Andri Mastiyanto
0
SEPOTONG SIIP LAH PENEGUR JIWA
iin nuraeni
0
PERADILAN CERITA MASA LALU
Svnarno
0
ARTIKEL UTAMA
SEVEN MAGIC MOUNTAINS YANG INSTAGRAMABLE DI LAS VEGAS, USA
Asita Suryanto
103
BIAR TIDAK BERAKHIR MENJADI LAYANGAN PUTUS, LAKUKAN 4 HAL INI SEBELUM MENIKAH
Martha Weda
180
LUMPIA ISI JAMUR TIRAM BERPADU SOSIS OTAK-OTAK, GURIHNYA TIADA TARA!
SISKA ARTATI
181
"LIFE PLANNING", SEBUAH KONSEP YANG MATANG DALAM MENENTUKAN TUJUAN HIDUP
Desy Hani
302
EFEK POSITIF "PERANG DINGIN" RANGNICK-RONALDO UNTUK MANCHESTER UNITED
Gobin Dd
628
LAPORKAN KONTEN
Konten tidak orisinal/melanggar hak cipta
Hate speech/menyerang/merugikan pihak lain
Vulgar/menimbulkan perasaan tidak nyaman (pornografi, darah, data privat, dsb)
Mengandung berita bohong/hoaks/misinformasi
Promosi aktivitas ilegal/berbahaya (judi, aborsi, investasi bodong, bunuh diri,
dsb)
Spamming
Akun ini palsu/menggunakan identitas orang lain
Akun ini membahayakan pihak lain
Akun ini diretas
Akun menyebarkan kebencian (hate speech)
Alasan
Batalkan Laporkan
TENTANG KOMPASIANA
PROFIL
PERFORMA & STATISTIK
TIM
JARINGAN
KGMEDIA.ID
SYARAT DAN KETENTUAN
DEFINISI
KETENTUAN LAYANAN
KETENTUAN KONTEN
PENGGUNAAN DAN HAK CIPTA
SANGGAHAN DAN PELAPORAN KONTEN
KETENTUAN PERUBAHAN
UNDANG-UNDANG ITE
PRIVACY POLICY
FAQ KOMPASIANA
KONTEN
TEKNIS DAN GANGGUAN
TIPS DAN TUTORIAL
BISNIS DAN KERJA SAMA
BANTUAN
KONTAK KAMI
Gedung Kompas Gramedia Palmerah Barat unit II lantai 6, Jl. Palmerah Barat no.
29-37, Gelora, Tanah Abang, Jakarta Pusat 10270
* 6221 536 99 200
* 6221 5360678
* kompasiana@kompasiana.com
Untuk pengajuan iklan dan kerja sama bisa menghubungi:
kerjasama@kompasiana.com
© 2018 Kompasiana.com. A subsidiary of KG Media. All Rights Reserved
X CLOSE