Fundamental

Perjalanan inspiratif Dimas Prasetyo yang berubah dari tukang servis komputer menjadi pentester profesional hanya dalam 3 tahun. Simak pelajaran berharga dari perjalanannya.

XML (Extensible Markup Language) sudah menjadi tulang punggung pertukaran data di banyak aplikasi enterprise selama lebih dari dua dekade. Dari konfigurasi server, integrasi API SOAP, sampai dokumen office seperti Microsoft Office dan PDF, XML digunakan di mana-mana. Namun di balik fleksibilitasnya, XML menyembunyikan satu celah keamanan yang sering luput dari perhatian developer: XML External Entity … Read more

Bayangkan seseorang bisa membaca file konfigurasi server Anda hanya dengan menambahkan beberapa titik dan garis miring ke URL. Skenario ini bukan fiksi, melainkan kenyataan yang terjadi setiap hari melalui dua kerentanan yang saling berkaitan: Directory Traversal dan Local File Inclusion (LFI). Meskipun kedua serangan ini sama-sama mengeksploitasi penanganan path file yang buruk, keduanya berbeda secara … Read more

Pahami perbedaan Reflected XSS, Stored XSS, dan DOM-based XSS. Pelajari cara kerja, dampak, dan strategi mitigasi untuk melindungi aplikasi web dari serangan Cross-Site Scripting.

Bayangkan ada seorang pencuri yang mencoba membobol rumahmu setiap malam. Alih-alih hanya memperkuat kunci pintu, kamu memasang kamera palsu di depan rumah yang terlihat sangat meyakinkan. Pencuri itu menghabiskan waktu berjam-jam mencoba membobol kamera palsu tersebut, sementara kamu diam-diam mengamati setiap gerakannya dan belajar cara kerjanya. Inilah konsep dasar dari honeypot dalam dunia keamanan siber. … Read more

Bayangkan kamu sedang login ke akun bank online. Tanpa kamu sadari, seorang penyerang telah menyisipkan kode berbahaya di halaman yang kamu buka. Kode itu mengirim cookie login kamu ke server penyerang. Dalam hitungan detik, rekeningmu sudah bisa dikosongkan — dan kamu bahkan tidak tahu apa yang terjadi. Inilah kekuatan Cross-Site Scripting (XSS), salah satu kerentanan … Read more

Server-Side Request Forgery (SSRF) adalah salah satu kerentanan web paling berbahaya yang sering luput dari perhatian developer. Berdasarkan OWASP Top 10 (2021), SSRF masuk dalam kategori Broken Access Control dan Security Misconfiguration yang terus meningkat frekuensinya. Serangan ini memungkinkan penyerang memaksa server membuat permintaan HTTP ke sistem internal yang seharusnya tidak bisa diakses dari luar. … Read more

GraphQL telah menjadi alternatif populer untuk REST API dalam beberapa tahun terakhir. Dikembangkan oleh Facebook pada 2012 dan dirilis sebagai open-source pada 2015, GraphQL kini digunakan oleh perusahaan besar seperti GitHub, Shopify, Twitter, dan Airbnb. Fleksibilitasnya yang memungkinkan client meminta data secara presisi menjadi daya tarik utama. Namun, di balik kemudahan itu, ada risiko keamanan … Read more

API (Application Programming Interface) adalah tulang punggung aplikasi modern. Setiap kali membuka aplikasi ride-hailing, mengecek saldo bank via mobile banking, atau login ke media sosial, aktivitas tersebut melewati puluhan panggilan API di belakang layar. Namun di balik peran pentingnya, API juga menjadi pintu masuk favorit penyerang. Berdasarkan laporan IBM Cost of a Data Breach Report … Read more

Autentikasi API adalah gerbang pertama yang menentukan siapa yang boleh mengakses sistem. Setiap developer yang membangun REST API pasti menghadapi pertanyaan yang sama: pakai API Key, OAuth 2.0, atau JWT? Ketiganya adalah metode autentikasi yang paling populer, namun masing-masing punya karakteristik, kekuatan, dan kelemahan yang berbeda. Salah pilih metode bisa berakibat fatal – mulai dari … Read more