Setiap kali sebuah aplikasi mobile terhubung ke server, setiap kali sebuah website frontend mengambil data dari backend, setiap kali layanan cloud saling bertukar informasi di balik layar – REST API-lah yang bekerja sebagai jembatan. API adalah tulang punggung arsitektur digital modern. Namun tanpa disadari, API juga menjadi permukaan serangan (attack surface) paling luas yang dimiliki organisasi saat ini.
Berdasarkan laporan OWASP API Security Top 10 (2023), kerentanan API telah menjadi penyebab utama berbagai kebocoran data skala besar dalam lima tahun terakhir. Organisasi seperti T-Mobile, Peloton, dan Experian semuanya mengalami kebocoran jutaan data pengguna melalui celah API yang tidak diamankan dengan benar. Artikel ini akan membahas langkah-langkah konkret mengamankan REST API berdasarkan standar OWASP, dari otorisasi hingga pembatasan laju permintaan.
Mengapa REST API Menjadi Target Utama Serangan?
REST API secara fundamental berbeda dari aplikasi web tradisional. Jika aplikasi web dilindungi oleh browser, session cookie, dan berbagai mekanisme client-side, REST API justru terbuka lebar – setiap endpoint dapat diakses langsung melalui HTTP request tanpa batasan browser. Tidak ada Same-Origin Policy yang melindungi. Tidak ada CSRF token yang otomatis divalidasi. API adalah raw HTTP access ke data dan fungsi bisnis.
Gartner memproyeksikan bahwa pada tahun 2025, lebih dari 90% aplikasi web akan memiliki permukaan serangan yang lebih luas melalui API dibandingkan melalui antarmuka pengguna (user interface). Hal ini berarti pengamanan API bukan lagi sekadar nice to have, melainkan keharusan mutlak bagi setiap organisasi yang mengoperasikan layanan digital. Baca juga: Apa Itu API Security? Panduan Lengkap untuk Pemula untuk memahami konsep dasarnya terlebih dahulu.
Masalahnya, banyak developer dan tim DevOps masih menerapkan pola keamanan aplikasi web tradisional ke API. Pendekatan ini gagal karena REST API tidak memiliki state (stateless), mengandalkan token untuk otentikasi, dan sering kali mengekspos logika bisnis yang lebih kaya daripada halaman web biasa. Akibatnya, satu endpoint yang tidak terlindungi dapat membuka akses ke seluruh basis data organisasi.
Apa Itu OWASP API Security Top 10?
OWASP (Open Worldwide Application Security Project) adalah organisasi nirlaba global yang menyediakan standar keamanan aplikasi yang diakui secara internasional. Setelah kesuksesan OWASP Top 10 untuk keamanan web, OWASP merilis OWASP API Security Top 10 – sebuah daftar sepuluh kerentanan paling kritis pada API yang didasarkan pada data insiden nyata dan kontribusi dari ratusan praktisi keamanan di seluruh dunia.
Edisi pertama dirilis pada tahun 2019 dan diperbarui pada tahun 2023 dengan penyesuaian terhadap tren serangan terbaru. Daftar ini mencakup kerentanan mulai dari otorisasi yang rusak, otentikasi yang lemah, hingga pembatasan laju (rate limiting) yang tidak memadai. Setiap item dalam daftar ini mewakili pola serangan yang telah terverifikasi menyebabkan kebocoran data dan kerugian finansial signifikan di dunia nyata.
Berikut adalah 10 kategori kerentanan API menurut OWASP API Security Top 10 (2023):
- API1:2023 – Broken Object Level Authorization (BOLA): Otorisasi level objek yang rusak, di mana penyerang dapat mengakses data pengguna lain hanya dengan mengubah ID di URL.
- API2:2023 – Broken Authentication: Otentikasi yang rusak, termasuk implementasi JWT yang salah dan endpoint login tanpa proteksi brute force.
- API3:2023 – Broken Object Property Level Authorization: Paparan data berlebihan akibat validasi properti objek yang tidak memadai.
- API4:2023 – Unrestricted Resource Consumption: Tidak adanya pembatasan laju (rate limiting) yang memungkinkan serangan DoS dan pengurasan sumber daya.
- API5:2023 – Broken Function Level Authorization: Eskalasi hak akses ke fungsi administratif melalui endpoint API.
- API6:2023 – Unrestricted Access to Sensitive Business Flows: Otomatisasi alur bisnis sensitif tanpa batasan, seperti pembelian massal atau pembuatan akun palsu.
- API7:2023 – Server-Side Request Forgery (SSRF): Pemalsuan permintaan sisi server yang memungkinkan penyerang mengakses sumber daya internal.
- API8:2023 – Security Misconfiguration: Kesalahan konfigurasi keamanan, termasuk header HTTP yang tidak diatur dan error message yang terlalu detail.
- API9:2023 – Improper Inventory Management: Manajemen inventaris API yang buruk, termasuk endpoint lama yang terlupakan dan versi API yang sudah tidak didukung.
- API10:2023 – Unsafe Consumption of APIs: Konsumsi API pihak ketiga yang tidak aman tanpa validasi data yang diterima.
Bagaimana Cara Mengamankan REST API dari 5 Ancaman Teratas?
Dari sepuluh kerentanan di atas, terdapat lima ancaman yang paling sering menjadi titik masuk serangan dan menyebabkan dampak paling parah. Berikut adalah panduan mitigasi untuk masing-masing ancaman tersebut.
1. Broken Object Level Authorization (BOLA) – API1:2023
Ini adalah kerentanan API nomor satu dan paling sering dieksploitasi. Contoh sederhana: seorang pengguna dengan ID 12345 mengakses endpoint /api/users/12345/profile. Jika sistem tidak memverifikasi bahwa pengguna yang sedang login benar-benar memiliki akses ke objek dengan ID tersebut, penyerang cukup mengganti ID menjadi 12346 untuk membaca profil pengguna lain.
Cara mengamankan: Setiap kali endpoint API menerima ID objek, sistem harus memverifikasi otorisasi pengguna terhadap objek tersebut setelah otentikasi berhasil. Implementasinya dapat menggunakan pola policy-based access control di mana setiap permintaan dicek terhadap kebijakan akses pengguna yang telah didefinisikan. Framework seperti Open Policy Agent (OPA) atau Casbin dapat membantu mengimplementasikan otorisasi terdesentralisasi ini.
2. Broken Authentication – API2:2023
Banyak API menggunakan JWT (JSON Web Token) untuk otentikasi, namun sering kali diimplementasikan dengan celah. Token tanpa masa kedaluwarsa, algoritma none yang diterima server, atau kunci rahasia (secret key) yang terlalu lemah adalah contoh kesalahan yang sering ditemukan. Selain itu, endpoint login sering kali tidak memiliki proteksi brute force, memungkinkan penyerang mencoba ribuan kombinasi kredensial.
Cara mengamankan: Gunakan JWT dengan RS256 (asymmetric key) alih-alih HS256. Pastikan token memiliki masa kedaluwarsa pendek (15-60 menit). Implementasikan refresh token rotation di mana setiap refresh token hanya dapat digunakan satu kali. Tambahkan rate limiting pada endpoint login – maksimal 5 percobaan per alamat IP dalam 15 menit. Baca juga: Apa Itu Secrets Management? Panduan Lengkap Mengamankan Kredensial dan API Key untuk praktik terbaik pengelolaan kunci.
3. Broken Object Property Level Authorization – API3:2023
Kerentanan ini terjadi ketika API mengembalikan data berlebihan (excessive data exposure) tanpa memfilter properti sensitif. Seorang pengguna dengan peran “user” biasa mungkin mengakses endpoint dan menerima respons JSON yang menyertakan field is_admin: false, salary, atau hashed_password. Penyerang dapat membaca field-field ini dan menyalahgunakan informasi tersebut.
Cara mengamankan: Jangan pernah mengandalkan frontend untuk memfilter data sensitif. Setiap endpoint API harus mengembalikan hanya data yang diperlukan berdasarkan peran (role) pengguna yang sedang login. Gunakan DTO (Data Transfer Object) atau serializer yang dikonfigurasi per role. Framework seperti Spring Security di Java atau Django REST Framework Serializer di Python memiliki mekanisme bawaan untuk ini.
4. Unrestricted Resource Consumption – API4:2023
Tanpa pembatasan laju permintaan (rate limiting), API sangat rentan terhadap serangan Denial of Service (DoS), brute force, dan pengurasan sumber daya komputasi. Satu penyerang dapat mengirim jutaan permintaan ke endpoint yang memproses operasi database berat, menyebabkan server kehabisan koneksi, memori, atau bandwidth, dan pada akhirnya menghentikan layanan untuk pengguna sah.
Cara mengamankan: Terapkan rate limiting di beberapa lapisan. Pada level aplikasi, batasi jumlah permintaan per pengguna (berdasarkan token API), per alamat IP, dan per endpoint. Gunakan token bucket algorithm atau sliding window untuk akurasi yang lebih baik. Untuk infrastruktur, gunakan API Gateway seperti Kong, Tyk, atau AWS API Gateway yang memiliki fitur rate limiting bawaan. Tentukan batas seperti: 100 request/menit untuk endpoint publik, 1000 request/menit untuk pengguna terotentikasi, dan 10 request/menit untuk endpoint sensitif seperti login atau reset password.
5. Broken Function Level Authorization – API5:2023
Kerentanan ini memungkinkan pengguna biasa mengakses fungsi administratif hanya dengan mengubah HTTP method atau URL endpoint. Contoh: pengguna biasa mengakses GET /api/users untuk melihat daftar pengguna, lalu mencoba DELETE /api/users/1 atau POST /api/admin/config. Jika server hanya memeriksa otentikasi tetapi tidak memeriksa otorisasi level fungsi, permintaan tersebut akan berhasil dieksekusi.
Cara mengamankan: Implementasikan RBAC (Role-Based Access Control) atau ABAC (Attribute-Based Access Control) pada setiap endpoint. Tidak cukup hanya memeriksa “apakah user sudah login?” – sistem harus memeriksa “apakah user dengan role ini diizinkan mengakses fungsi ini?” Gunakan middleware otorisasi yang berjalan sebelum logika bisnis dieksekusi. Prinsip deny by default harus diterapkan: setiap endpoint ditolak aksesnya kecuali secara eksplisit diizinkan untuk role tertentu.
Baca juga: Apa Itu SSRF (Server-Side Request Forgery)? Cara Kerja, Eksploitasi, dan Pencegahan untuk memahami lebih dalam tentang ancaman API7 yang juga termasuk dalam daftar OWASP.
Tools untuk Mengamankan REST API
Mengamankan REST API tidak harus dimulai dari nol. Berbagai tool dan layanan tersedia untuk membantu developer dan tim keamanan mengidentifikasi serta memitigasi kerentanan API secara sistematis. Berikut adalah beberapa tool yang paling banyak digunakan di industri.
OWASP ZAP (Zed Attack Proxy) adalah scanner keamanan aplikasi web open-source yang mendukung pengujian API. ZAP dapat diintegrasikan dalam pipeline CI/CD untuk melakukan pemindaian otomatis setiap kali kode baru di-deploy. Tool ini mendukung format OpenAPI/Swagger sehingga dapat secara otomatis memahami struktur endpoint API yang akan diuji.
Postman dengan fitur testing-nya dapat digunakan untuk membuat koleksi uji keamanan API. Dengan menulis skrip uji di Postman, developer dapat memvalidasi header keamanan, memeriksa respons JSON, dan menguji otorisasi secara otomatis. Burp Suite dalam edisi Professional menawarkan scanner API khusus yang dapat mendeteksi kerentanan OWASP API Top 10 secara otomatis.
Untuk level infrastruktur, API Gateway seperti Kong, Tyk, atau AWS API Gateway menyediakan lapisan keamanan tambahan termasuk rate limiting, IP whitelisting, dan request validation. Sementara itu, WAF (Web Application Firewall) seperti Cloudflare atau AWS WAF dapat mendeteksi dan memblokir pola serangan umum terhadap API.
Checklist Keamanan REST API untuk Developer
Berikut adalah checklist praktis yang dapat digunakan oleh developer dan tim keamanan untuk memastikan REST API telah diamankan dengan baik sebelum di-deploy ke produksi. Setiap poin di bawah ini mengacu pada item spesifik dalam OWASP API Security Top 10.
| No | Langkah Keamanan | OWASP |
|---|---|---|
| 1 | Semua endpoint memverifikasi otorisasi pengguna terhadap objek yang diakses | API1 |
| 2 | Gunakan JWT asymmetric (RS256) + refresh token rotation | API2 |
| 3 | Response JSON hanya mengembalikan field yang diperlukan sesuai role | API3 |
| 4 | Rate limiting diterapkan pada semua endpoint (terutama login) | API4 |
| 5 | RBAC/ABAC memverifikasi otorisasi di setiap endpoint | API5 |
| 6 | Header keamanan: Content-Security-Policy, X-Content-Type-Options, Strict-Transport-Security | API8 |
| 7 | Input validation pada setiap parameter request | API8 |
| 8 | Semua komunikasi menggunakan HTTPS (TLS 1.2+) | API8 |
| 9 | Dokumentasi API selalu diperbarui dan endpoint usang dihapus | API9 |
| 10 | Data dari API pihak ketiga divalidasi sebelum digunakan | API10 |
Pertanyaan yang Sering Diajukan (FAQ)
Apa perbedaan OWASP Top 10 Web dengan OWASP API Security Top 10?
OWASP Top 10 Web berfokus pada kerentanan aplikasi web berbasis browser seperti XSS dan CSRF. Sementara itu, OWASP API Security Top 10 berfokus pada kerentanan spesifik REST API seperti Broken Object Level Authorization yang tidak relevan di konteks web tradisional. API tidak memiliki browser, sehingga mekanisme keamanan client-side tidak berlaku.
Apakah API Gateway cukup untuk mengamankan REST API?
Tidak sepenuhnya. API Gateway sangat efektif untuk rate limiting, IP filtering, dan request validation, tetapi tidak dapat mendeteksi kerentanan logika bisnis seperti Broken Object Level Authorization. API Gateway harus digunakan bersama dengan validasi otorisasi di level aplikasi dan pengujian keamanan rutin.
Seberapa sering API harus diuji keamanannya?
Idealnya, pengujian keamanan API dilakukan secara otomatis di pipeline CI/CD setiap kali ada perubahan kode. Selain itu, penetration testing menyeluruh sebaiknya dilakukan minimal setiap 6 bulan, atau setiap kali ada perubahan besar pada arsitektur API atau penambahan endpoint baru yang signifikan.
Kesimpulan
REST API adalah fondasi arsitektur digital modern, dan mengamankannya bukan lagi pilihan – melainkan keharusan. OWASP API Security Top 10 menyediakan kerangka kerja yang telah teruji untuk mengidentifikasi dan memitigasi sepuluh kerentanan paling kritis pada API. Lima ancaman teratas – BOLA, Broken Authentication, Excessive Data Exposure, Rate Limiting, dan Broken Function Level Authorization – adalah titik awal yang harus segera diamankan oleh setiap organisasi.
Keamanan API bukanlah tugas sekali jalan. Setiap endpoint baru adalah potensi celah baru. Setiap perubahan logika bisnis dapat membuka vektor serangan baru. Diperlukan kombinasi antara tool otomatis, praktik pengembangan yang aman, dan audit berkala untuk menjaga REST API tetap aman seiring pertumbuhan sistem.
Untuk memulai perjalanan belajar keamanan siber secara konsisten setiap hari, kunjungi ShinoBee dan bangun kebiasaan belajar yang akan melindungi infrastruktur digital Anda di masa depan.