diff --git a/editions/2023/id/0x00-header.md b/editions/2023/id/0x00-header.md new file mode 100644 index 000000000..f1fe542ba --- /dev/null +++ b/editions/2023/id/0x00-header.md @@ -0,0 +1,14 @@ +--- +title: '' +description: OWASP Keamanan API Top 10 edisi 2023 +--- + +![OWASP LOGO](images/cover.jpg) + +| | | | +| - | - | - | +| https://owasp.org | Karya ini dilisensikan di bawah [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) | + +[1]: http://creativecommons.org/licenses/by-sa/4.0/ + + diff --git a/editions/2023/id/0x00-notice.md b/editions/2023/id/0x00-notice.md new file mode 100644 index 000000000..ae61095e5 --- /dev/null +++ b/editions/2023/id/0x00-notice.md @@ -0,0 +1,14 @@ +# Pemberitahuan + +Ini adalah versi teks dari OWASP Keamanan API Top 10, dipakai sebagai sumber +bagi sebarang versi resmi dari dokumen ini seperti misalnya situs web. + +Kontribusi ke proyek seperti komentar, koreksi, atau terjemahan mesti +dilakukan di sini. Untuk rincian tentang [Bagaimana Berkontribusi][1], harap +mengacu ke [CONTRIBUTING.md][1]. + +* Erez Yallon +* Inon Shkedy +* Paulo Silva + +[1]: ../../../CONTRIBUTING.md diff --git a/editions/2023/id/0x00-toc.md b/editions/2023/id/0x00-toc.md new file mode 100644 index 000000000..16417676e --- /dev/null +++ b/editions/2023/id/0x00-toc.md @@ -0,0 +1,23 @@ +# Daftar Isi + +* [Daftar Isi](0x00-toc.md) +* [Tentang OWASP](0x01-about-owasp.md) +* [Kata Pengantar](0x02-foreword.md) +* [Perkenalan](0x03-introduction.md) +* [Catatan Rilis](0x04-release-notes.md) +* [Risiko Keamanan API](0x10-api-security-risks.md) +* [OWASP Top 10 Risiko Keamanan API – 2023](0x11-t10.md) +* [API1:2023 Otorisasi Rusak Tingkat Obyek](0xa1-broken-object-level-authorization.md) +* [API2:2023 Otentikasi yang Rusak](0xa2-broken-authentication.md) +* [API3:2023 Otorisasi Rusak Tingkat Properti Obyek](0xa3-broken-object-property-level-authorization.md) +* [API4:2023 Konsumsi Sumber Daya Tak Dibatasi](0xa4-unrestricted-resource-consumption.md) +* [API5:2023 Otorisasi Rusak Tingkat Fungsi](0xa5-broken-function-level-authorization.md) +* [API6:2023 Akses Tak Dibatasi ke Alur Bisnis Sensitif](0xa6-unrestricted-access-to-sensitive-business-flows.md) +* [API7:2023 Pemalsuan Permintaan Sisi Server](0xa7-server-side-request-forgery.md) +* [API8:2023 Kesalahan Konfigurasi Keamanan](0xa8-security-misconfiguration.md) +* [API9:2023 Manajemen Inventaris yang Tidak Tepat](0xa9-improper-inventory-management.md) +* [API10:2023 Konsumsi API Tanpa Peduli Keselamatan](0xaa-unsafe-consumption-of-apis.md) +* [Apa Langkah Selanjutnya Untuk Pengembang](0xb0-next-devs.md) +* [Apa Langkah Selanjutnya Untuk DevSecOps](0xb1-next-devsecops.md) +* [Metodologi dan Data](0xd0-about-data.md) +* [Penghargaan](0xd1-acknowledgments.md) diff --git a/editions/2023/id/0x01-about-owasp.md b/editions/2023/id/0x01-about-owasp.md new file mode 100644 index 000000000..e788db25f --- /dev/null +++ b/editions/2023/id/0x01-about-owasp.md @@ -0,0 +1,61 @@ +# Tentang OWASP + +Open Web Application Security Project (OWASP) adalah komunitas terbuka yang +didedikasikan untuk memungkinkan organisasi mengembangkan, membeli, dan +memelihara aplikasi dan API yang dapat dipercaya. + +Di OWASP, Anda akan menemukan hal berikut yang bebas dan terbuka: + +* Alat dan standar dalam keamanan aplikasi. +* Buku lengkap tentang uji keamanan aplikasi, pengembangan kode aman, dan + peninjauan kode keamanan. +* Presentasi dan [video][1]. +* [Cheat sheets](https://cheatsheetseries.owasp.org/) untuk banyak topik umum. +* Kendali keamanan dan pustaka standar. +* [Chapter lokal di seluruh dunia][3]. +* Penelitian terkini. +* [Konferensi di seluruh dunia] yang ekstensif[4]. +* [Milis][5] ([arsip][6]). + +Pelajari lebih lanjut di: [https://www.owasp.org][7]. + +Seluruh alat OWASP, dokumen, video, presentasi, dan chapter itu bebas dan +terbuka bagi semua orang yang tertarik dalam meningkatkan keamanan aplikasi. + +Kami mengadvokasi mendekati keamanan aplikasi sebagai masalah orang, proses, +dan teknologi, karena pendekatan yang paling efektif untuk keamanan aplikasi +memerlukan peningkatan pada bidang-bidang ini. + +OWASP adalah jenis organisasi baru. Kebebasan kami dari tekanan komersial +memungkinkan kami memberikan informasi yang tidak bias, praktis, dan hemat +biaya tentang keamanan aplikasi. + +OWASP tidak terafiliasi dengan perusahaan teknologi mana pun, meskipun kami +mendukung penggunaan teknologi keamanan komersial yang diinformasikan. OWASP +memproduksi berbagai jenis bahan secara kolaboratif, transparan, dan terbuka. + +Yayasan OWASP adalah entitas nonprofit yang memastikan kesuksesan jangka +panjang proyek. Hampir semua orang yang terkait dengan OWASP adalah relawan, +termasuk OWASP board, OWASP chapter leader, project leader, dan project +member. Kami mendukung penelitian keamanan yang inovatif dengan hibah dan +infrastruktur. + +Ayo bergabung dengan kami! + +## Hak Cipta dan Lisensi + +![license](images/license.png) + +Hak Cipta© 2003-2023 The OWASP Foundation. Dokumen ini dirilis di bawah +[Creative Commons Attribution Share-Alike 4.0 license][8]. Untuk sebarang +penggunaan ulang atau distribusi, Anda harus membuat jelas bagi pihak lain +persyaratan lisensi dari karya ini. + +[1]: https://www.youtube.com/user/OWASPGLOBAL +[2]: https://cheatsheetseries.owasp.org/ +[3]: https://owasp.org/chapters/ +[4]: https://owasp.org/events/ +[5]: https://groups.google.com/a/owasp.org/forum/#!overview +[6]: https://lists.owasp.org/mailman/listinfo +[7]: https://www.owasp.org +[8]: http://creativecommons.org/licenses/by-sa/4.0/ diff --git a/editions/2023/id/0x02-foreword.md b/editions/2023/id/0x02-foreword.md new file mode 100644 index 000000000..b0c1d91d2 --- /dev/null +++ b/editions/2023/id/0x02-foreword.md @@ -0,0 +1,43 @@ +# Kata Pengantar + +Sebuah elemen dasar inovasi dalam dunia yang digerakkan oleh aplikasi saat ini +adalah Application Programming Interface (API). Dari bank, retail, dan +transportasi sampai IoT, kendaraan otonom, dan kota cerdas, API adalah bagian +kritis dari aplikasi web, SaaS, dan mobile modern dan dapat ditemukan dalam +aplikasi internal, yang melayani partner, dan yang melayani kustomer. + +Secara alami, API mengekspos data sensitif dan logika aplikasi seperti +misalnya Personally Identifiable Information (PII) dan karena ini, API +telah semakin menjadi sasaran penyerang. Tanpa API yang aman, inovasi yang +cepat tidak akan mungkin. + +Walaupun Top 10 risiko keamanan aplikasi web yang lebih lebar masih masuk akal, +karena kekhususan alami mereka, daftar risiko keamanan spesifik API diperlukan. +Keamanan API berfokus pada strategi dan solusi untuk memahami dan memitigasi +risiko keamanan dan kerentanan unik yang terkait dengan API. + +Bila Anda akrab dengan [Proyek OWASO Top 10][1], maka Anda akan menemui +kemiripan antara kedua dokumen: mereka ditujukan agar mudah dibaca dan +diadopsi. Bila Anda baru mengenal seri OWASP Top 10, Anda mungkin lebih baik +membaca bagian [Risiko Keamanan API][2] dan [Metodologi dan Data][3] sebelum +melompat ke daftar Top 10. + +Anda dapat berkontribusi ke OWASP API Security Top 10 dengan pertanyaan, +komentar, dan ide Anda pada repositori proyek GitHub kami: + +* https://owasp.org/www-project-api-security/ +* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md + +Anda dapat menemukan OWASP Top 10 Keamanan API di sini: + +* https://owasp.org/www-project-api-security/ +* https://github.com/OWASP/API-Security + +Kami hendak berterima kasih ke semua kontributoe yang telah membuat proyek +ini mungkin dengan upaya dan kontribusi mereka. Mereka semua didaftar dalam +[Bagian penghargaan][4]. Terima kasih! + +[1]: https://owasp.org/www-project-top-ten/ +[2]: ./0x10-api-security-risks.md +[3]: ./0xd0-about-data.md +[4]: ./0xd1-acknowledgments.md diff --git a/editions/2023/id/0x03-introduction.md b/editions/2023/id/0x03-introduction.md new file mode 100644 index 000000000..84b8a2cbc --- /dev/null +++ b/editions/2023/id/0x03-introduction.md @@ -0,0 +1,61 @@ +# Kata Pengantar + +## Selamat Datang ke OWASP Top 10 Keamanan API - 2023! + +Selamat datang ke edisi kedua dari OWASP Top 10 Keamanan API! + +Dokumen kesadaran ini pertama dipublikasikan di tahun 2019. Sejak saat itu, +industri Keamanan API telah berkembang dan menjadi lebih dewasa. Kami sangat +percaya bahwa karya ini berkontribusi secara positif ke sana, karena itu +secara cepat diadopsi sebagai suatu acuan industri. + +API memegang suatu peran yang sangat penting dalam arsitektur aplikasi modern. +Tapi karena inovasi memiliki laju yang berbeda daripada membuat kesadaran +keamanan, kami percaya bahwa penting untuk berfokus pada menciptakan kesadaran +bagi kelemahan keamanan API yang umum. + +Sasaran utama dari OWASP Top 10 Keamanan API adalah untuk mengedukasi mereka +yang terlibat dalam pengembangan dan pemeliharaan API, misalnya, para +pengembang, perancang, arsitek, manajer, atau organisasi. Anda bisa tahu lebih +banyak tentang Proyek Keamanan API dengan mengunjungi [halaman proyek][1]. + +Bila Anda tidak akrab dengan seri OWASP top 10, kami sarankan memeriksa paling +tidak proyek top 10 berikut: + +* [OWASP Cloud-Native Application Security Top 10][2] +* [OWASP Desktop App Security Top 10][3] +* [OWASP Docker Top 10][4] +* [OWASP Low-Code/No-Code Top 10][5] +* [OWASP Machine Learning Security Top 10][6] +* [OWASP Mobile Top 10][7] +* [OWASP Top 10][8] +* [OWASP Top 10 CI/CD Security Risks][9] +* [OWASP Top 10 Client-Side Security Risks][10] +* [OWASP Top 10 Privacy Risks][11] +* [OWASP Serverless Top 10][12] + +Tidak satu pun dari proyek tersebut menggantikan satu sama lain: bila Anda +bekerja pada suatu aplikasi mobile yang ditenagai oleh suatu API back end, +Anda akan lebih baik membaca kedua top 10 yang terkait. Hal yang sama valid +bila Anda mengerjakan suatu aplikasi web atau desktop yang ditenagai oleh API. + +Dalam bagian [Metodologi dan Data][13], Anda dapat membaca lebih lanjut +tentang bagaimana edisi ini diciptakan. Untuk saat ini, kami mendorong semua +orang untuk berkontribusi dengan pertanyaan, komentar, dan ide pada [repositori +GitHub][14] atau [Milis][15] kami. + +[1]: https://owasp.org/www-project-api-security/ +[2]: https://owasp.org/www-project-cloud-native-application-security-top-10/ +[3]: https://owasp.org/www-project-desktop-app-security-top-10/ +[4]: https://owasp.org/www-project-docker-top-10/ +[5]: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/ +[6]: https://owasp.org/www-project-machine-learning-security-top-10/ +[7]: https://owasp.org/www-project-mobile-top-10/ +[8]: https://owasp.org/www-project-top-ten/ +[9]: https://owasp.org/www-project-top-10-ci-cd-security-risks/ +[10]: https://owasp.org/www-project-top-10-client-side-security-risks/ +[11]: https://owasp.org/www-project-top-10-privacy-risks/ +[12]: https://owasp.org/www-project-serverless-top-10/ +[13]: ./0xd0-about-data.md +[14]: https://github.com/OWASP/API-Security +[15]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project diff --git a/editions/2023/id/0x04-release-notes.md b/editions/2023/id/0x04-release-notes.md new file mode 100644 index 000000000..5f5a10c2e --- /dev/null +++ b/editions/2023/id/0x04-release-notes.md @@ -0,0 +1,51 @@ +# Catatan Rilis + +Ini adalah edisi kedua dari OWASP Top 10 Keamanan API, tepat empat tahun +setelah rilis pertamanya. Banyak yang telah berubah dalam kiprah (keamanan) +API. Lalu lintas API meningkat dengan cepat, beberapa protokol API jauh +bertambah daya tariknya, banyak vendor/solusi keamanan API baru bermunculan, +dan, tentu saja, penyerang telah mengembangkan keterampilan dan teknik baru +untuk mengkompromikan API. Sudah waktunya daftar sepuluh risiko keamanan API +yang paling kritis diperbarui. + +Dengan industri keamanan API yang lebih matang, untuk pertama kalinya, ada +[panggilan publik untuk data][1]. Sayangnya, tidak ada data yang +dikontribusikan, tetapi berdasarkan pengalaman tim proyek, tinjauan dari +para spesialis keamanan API yang cermat, dan umpan balik komunitas tentang +kandidat rilis, kami membuat daftar baru ini. Di bagian [Metodologi dan Data][2], +Anda akan menemukan detail selengkapnya tentang bagaimana versi ini dibuat. +Untuk detail selengkapnya tentang risiko keamanan, silakan lihat [bagian Risiko +Keamanan API][3]. + +OWASP Top 10 Keamanan API 2023 adalah dokumen kesadaran berwawasan ke depan +untuk industri yang bergerak cepat. Itu tidak menggantikan Top 10 lainnya. +Dalam edisi ini: + +* Kami telah menggabungkan Paparan Data Berlebihan dan Penugasan Massal yang + berfokus pada akar masalah umum: kegagalan validasi otorisasi tingkat + properti objek. +* Kami lebih memberi penekanan pada konsumsi sumber daya, daripada berfokus + pada kecepatan mereka habis. +* Kami telah membuat kategori baru "Akses Tak Dibatasi ke Alur Bisnis Sensitif" + untuk menjawab ancaman-ancaman baru, termasuk sebagian besar ancaman yang + dapat dimitigasi memakai pembatasan kecepatan. +* Kami menambahkan "Konsumsi API Tanpa Peduli Keselamatan" untuk mengatasi + sesuatu yang mulai kami lihat: para penyerang telah mulai mencari layanan + terintegrasi target untuk mengkompromikannya, alih-alih menyerang langsung + ke API target. Ini adalah waktu yang tepat untuk mulai menciptakan kesadaran + tentang risiko yang meningkat ini. + +API memainkan peran yang semakin penting dalam arsitektur layanan mikro +modern, Aplikasi Halaman Tunggal (Single Page Application, SPA), aplikasi +seluler, IoT, dll. OWASP Top 10 Keamanan API adalah upaya yang diperlukan +untuk menciptakan kesadaran tentang masalah-masalah keamanan API modern. + +Pembaruan ini hanya mungkin terjadi berkat upaya besar dari beberapa +sukarelawan, yang tercantum di bagian [Ucapan Terima Kasih][4]. + +Terima kasih! + +[1]: https://owasp.org/www-project-api-security/announcements/cfd/2022/ +[2]: ./0xd0-about-data.md +[3]: ./0x10-api-security-risks.md +[4]: ./0xd1-acknowledgments.md diff --git a/editions/2023/id/0x10-api-security-risks.md b/editions/2023/id/0x10-api-security-risks.md new file mode 100644 index 000000000..9d6ed598a --- /dev/null +++ b/editions/2023/id/0x10-api-security-risks.md @@ -0,0 +1,49 @@ +# Risiko Keamanan API + +[Metodologi Pemeringkatan Risiko OWASP][1] dipakai untuk melakukan analisis +risiko. + +Tabel di bawah menyarikan terminologi yang terkait dengan skor risiko. + +| Agen Ancaman | Eksploitabilitas | Prevalensi Kelemahan | Keterdeteksian Kelemahan | Impak Teknis | Impak Bisnis | +| :-: | :-: | :-: | :-: | :-: | :-: | +| Spesifik API | Mudah: **3** | Menyebar Luas **3** | Mudah **3** | Parah **3** | Spesifik Bisnis | +| Spesifik API | Rata-rata: **2** | Umum **2** | Rata-rata **2** | Sedang **2** | Spesifik Bisnis | +| Spesifik API | Sulit: **1** | Sulit **1** | Sulit **1** | Minor **1** | Spesifik Bisnis | + +**Catatan**: Pendekatan ini tidak memperhitungkan kebolehjadian dari agen +ancaman. Tidak diperhitungkan juga berbagai rincian teknis yang berkaitan +dengan aplikasi Anda. Sebarang dari faktor-faktor ini bisa secara +signifikan memengaruhi kebolehjadian keseluruhan dari penyerang menemukan +dan mengeksploitasi suatu kerentanan tertentu. Pemeringkatan ini tidak +memerhitungkan impak sesungguhnya pada bisnis Anda. Organisasi Anda mesti +memutuskan seberapa banyak risiko keamanan dari aplikasi dan API yang +dapat diterima sesuai dengan kultur, industri, dan lingkungan regulasi Anda. +Tujuan dari OWASP Top 10 Keamanan API tidak untuk melakukan analisis risiko +bagi Anda. Karena edisi ini tidak didorong oleh data, prevalensi dihasilkan +dari suatu konsensus di antara para anggota tim. + +## Acuan + +### OWASP + +* [Metodologi Pemeringkatan Risiko OWASP][1] +* [Artikel tentang Pemodelan Ancaman/Risiko][2] + +### Eksternal + +* [ISO 31000: Risk Management Std][3] +* [ISO 27001: ISMS][4] +* [NIST Cyber Framework (US)][5] +* [ASD Strategic Mitigations (AU)][6] +* [NIST CVSS 3.0][7] +* [Microsoft Threat Modeling Tool][8] + +[1]: https://owasp.org/www-project-risk-assessment-framework/ +[2]: https://owasp.org/www-community/Threat_Modeling +[3]: https://www.iso.org/iso-31000-risk-management.html +[4]: https://www.iso.org/isoiec-27001-information-security.html +[5]: https://www.nist.gov/cyberframework +[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm +[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator +[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168