{"title":"2016年安全评估Pada applikasi Mobile Android XYZ邓安Mengacu Pada Kerentanan OWASP Mobile十佳","authors":"Candra Kurniawan, Nanang Trianto","doi":"10.56706/ik.v15i1.2","DOIUrl":null,"url":null,"abstract":"Aplikasi XYZ merupakan aplikasi unggulan pemerintah Provinsi X yang digunakan untuk pelayanan publik. Aplikasi ini menjadi penjembatan antara pemerintah Provinsi dengan Ketua RW. Pada penelitian ini dilakukan security assessment pada aplikasi XYZ untuk mengidentifikasi kerentanan dan dampak kerentanan, nilai kerentanan, serta memberikan rekomendasi keamanan pada kerentanan yang teridentifikasi. Kerentanan yang diidentifikasi mengacu pada kerentanan dari OWASP Mobile Top Ten 2016. Penelitian ini menggunakan metode security assessment berdasarkan SANS yang terdiri dari tiga langkah yaitu reviewing, examination, dan testing. Tahap reviewing dilakukan dengan mengumpulkan informasi terkait aplikasi XYZ, kebijakan Pemprov, dan terkait dengan NDA. Tahap examination disebut juga analisis statis, di sini dilakukan analisis statis otomatis menggunakan scanner MobSF dan MARA Framework. Kemudian tahap testing atau analisis dinamis dilakukan pengujian kerentanan dengan menjalankan aplikasi. Berdasarkan hasil security assessment teridentifikasi enam kerentanan pada aplikasi XYZ di mana enam kerentanan tersebut termasuk dalam lima kerentanan OWASP Mobile Top Ten 2016. Rincian kerentanan yang ditemukan insecure data storage (manipulatability backup dan aplikasi membuat file temp) kategori kerentanan medium, insecure communication (insecure implementation WebView) kategori kerentanan high, insufficient cryptography (static key) kategori kerentanan medium, client code quality (manipulatability activity) kategori kerentanan none, dan reverse engineering kategori kerentanan medium. Kerentanan yang ditemukan ini berdampak pada hilangnya aspek kerahasiaan seperti data sensitif pengguna, password default dan kunci konfigurasi aplikasi dengan server backend yang terdapat pada kode sumber. Berdasarkan kerentanan tersebut, diberikan rekomendasi keamanan berupa penerapan enkripsi data, penerapan teknik obfuscation, serta melakukan manajemen kunci untuk tujuan mengatasi kerentanan dan mencegah dampak yang terjadi.","PeriodicalId":112303,"journal":{"name":"Info Kripto","volume":"7 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2021-06-07","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"1","resultStr":"{\"title\":\"Security Assessment Pada Aplikasi Mobile Android XYZ Dengan Mengacu Pada Kerentanan OWASP Mobile Top Ten 2016\",\"authors\":\"Candra Kurniawan, Nanang Trianto\",\"doi\":\"10.56706/ik.v15i1.2\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"Aplikasi XYZ merupakan aplikasi unggulan pemerintah Provinsi X yang digunakan untuk pelayanan publik. Aplikasi ini menjadi penjembatan antara pemerintah Provinsi dengan Ketua RW. Pada penelitian ini dilakukan security assessment pada aplikasi XYZ untuk mengidentifikasi kerentanan dan dampak kerentanan, nilai kerentanan, serta memberikan rekomendasi keamanan pada kerentanan yang teridentifikasi. Kerentanan yang diidentifikasi mengacu pada kerentanan dari OWASP Mobile Top Ten 2016. Penelitian ini menggunakan metode security assessment berdasarkan SANS yang terdiri dari tiga langkah yaitu reviewing, examination, dan testing. Tahap reviewing dilakukan dengan mengumpulkan informasi terkait aplikasi XYZ, kebijakan Pemprov, dan terkait dengan NDA. Tahap examination disebut juga analisis statis, di sini dilakukan analisis statis otomatis menggunakan scanner MobSF dan MARA Framework. Kemudian tahap testing atau analisis dinamis dilakukan pengujian kerentanan dengan menjalankan aplikasi. Berdasarkan hasil security assessment teridentifikasi enam kerentanan pada aplikasi XYZ di mana enam kerentanan tersebut termasuk dalam lima kerentanan OWASP Mobile Top Ten 2016. Rincian kerentanan yang ditemukan insecure data storage (manipulatability backup dan aplikasi membuat file temp) kategori kerentanan medium, insecure communication (insecure implementation WebView) kategori kerentanan high, insufficient cryptography (static key) kategori kerentanan medium, client code quality (manipulatability activity) kategori kerentanan none, dan reverse engineering kategori kerentanan medium. Kerentanan yang ditemukan ini berdampak pada hilangnya aspek kerahasiaan seperti data sensitif pengguna, password default dan kunci konfigurasi aplikasi dengan server backend yang terdapat pada kode sumber. Berdasarkan kerentanan tersebut, diberikan rekomendasi keamanan berupa penerapan enkripsi data, penerapan teknik obfuscation, serta melakukan manajemen kunci untuk tujuan mengatasi kerentanan dan mencegah dampak yang terjadi.\",\"PeriodicalId\":112303,\"journal\":{\"name\":\"Info Kripto\",\"volume\":\"7 1\",\"pages\":\"0\"},\"PeriodicalIF\":0.0000,\"publicationDate\":\"2021-06-07\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"1\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Info Kripto\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.56706/ik.v15i1.2\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"\",\"JCRName\":\"\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Info Kripto","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.56706/ik.v15i1.2","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}
Security Assessment Pada Aplikasi Mobile Android XYZ Dengan Mengacu Pada Kerentanan OWASP Mobile Top Ten 2016
Aplikasi XYZ merupakan aplikasi unggulan pemerintah Provinsi X yang digunakan untuk pelayanan publik. Aplikasi ini menjadi penjembatan antara pemerintah Provinsi dengan Ketua RW. Pada penelitian ini dilakukan security assessment pada aplikasi XYZ untuk mengidentifikasi kerentanan dan dampak kerentanan, nilai kerentanan, serta memberikan rekomendasi keamanan pada kerentanan yang teridentifikasi. Kerentanan yang diidentifikasi mengacu pada kerentanan dari OWASP Mobile Top Ten 2016. Penelitian ini menggunakan metode security assessment berdasarkan SANS yang terdiri dari tiga langkah yaitu reviewing, examination, dan testing. Tahap reviewing dilakukan dengan mengumpulkan informasi terkait aplikasi XYZ, kebijakan Pemprov, dan terkait dengan NDA. Tahap examination disebut juga analisis statis, di sini dilakukan analisis statis otomatis menggunakan scanner MobSF dan MARA Framework. Kemudian tahap testing atau analisis dinamis dilakukan pengujian kerentanan dengan menjalankan aplikasi. Berdasarkan hasil security assessment teridentifikasi enam kerentanan pada aplikasi XYZ di mana enam kerentanan tersebut termasuk dalam lima kerentanan OWASP Mobile Top Ten 2016. Rincian kerentanan yang ditemukan insecure data storage (manipulatability backup dan aplikasi membuat file temp) kategori kerentanan medium, insecure communication (insecure implementation WebView) kategori kerentanan high, insufficient cryptography (static key) kategori kerentanan medium, client code quality (manipulatability activity) kategori kerentanan none, dan reverse engineering kategori kerentanan medium. Kerentanan yang ditemukan ini berdampak pada hilangnya aspek kerahasiaan seperti data sensitif pengguna, password default dan kunci konfigurasi aplikasi dengan server backend yang terdapat pada kode sumber. Berdasarkan kerentanan tersebut, diberikan rekomendasi keamanan berupa penerapan enkripsi data, penerapan teknik obfuscation, serta melakukan manajemen kunci untuk tujuan mengatasi kerentanan dan mencegah dampak yang terjadi.
求助内容:
应助结果提醒方式:
京公网安备 11010802042870号
