Apakah itu OWASP Top 10?

Question

Accepted Answer

**OWASP Top 10** ialah senarai yang diiktiraf secara meluas tentang **risiko keselamatan aplikasi web yang paling kritikal**, diterbitkan oleh OWASP (Open Worldwide Application Security Project). Ia merupakan sumber kesedaran yang penting untuk memahami kerentanan biasa yang mesti dipertahankan oleh pembangun.

## Apa itu OWASP Top 10

```text
A regularly-updated list of the TOP 10 most critical web app security risks:
  → based on real-world data and expert consensus
  → a standard AWARENESS document — the baseline of vulnerabilities to know and prevent
  → not exhaustive, but the most important/common risks to address first
```

## Kategori-kategori (OWASP Top 10 terkini)

```text
1. BROKEN ACCESS CONTROL → users accessing what they shouldn't (authorization flaws)
2. CRYPTOGRAPHIC FAILURES → weak/missing encryption; exposed sensitive data
3. INJECTION → SQL injection, command injection (untrusted input as code/queries)
4. INSECURE DESIGN → security flaws in the design itself
5. SECURITY MISCONFIGURATION → insecure defaults, exposed settings, verbose errors
6. VULNERABLE/OUTDATED COMPONENTS → using libraries with known vulnerabilities
7. AUTHENTICATION FAILURES → weak auth, broken session management
8. DATA INTEGRITY FAILURES → insecure deserialization, untrusted updates (supply chain)
9. LOGGING/MONITORING FAILURES → can't detect/respond to attacks
10. SSRF → server-side request forgery (server tricked into making requests)
```

## Mengapa ia bernilai

```text
✓ A prioritized CHECKLIST of what to defend against (the most common/critical risks)
✓ Common LANGUAGE for discussing app security; widely referenced in industry
✓ Educational — learn the major vulnerability classes and how to prevent them
→ A foundational reference for any developer/team building secure web apps.
```

## Mengapa ia penting

Memahami OWASP Top 10 adalah bernilai kerana ia merupakan **rujukan standard untuk risiko keselamatan aplikasi web yang paling kritikal**, menyediakan kesedaran penting tentang kerentanan yang mesti dipertahankan oleh pembangun, jadi ia adalah pengetahuan keselamatan asas.

OWASP Top 10 — senarai risiko keselamatan aplikasi web teratas yang dikemas kini secara berkala dan dipacu data — berfungsi sebagai **garis dasar kerentanan yang patut diketahui oleh setiap pembangun yang membina aplikasi web**, mewakili risiko yang paling biasa dan kritikal untuk ditangani.

Memahami **kategori-kategori** — termasuk **broken access control** (kecacatan kebenaran), **injection** (SQL injection dan yang serupa, kelas klasik dan berbahaya), **cryptographic failures** (penyulitan lemah, data terdedah), **security misconfiguration**, **vulnerable/outdated components** (menggunakan pustaka dengan kerentanan yang diketahui), **authentication failures**, dan yang lain — memberi pembangun kesedaran tentang kelas kerentanan utama dan apa yang perlu dipertahankan.

Kesedaran ini adalah asas kerana anda tidak boleh mencegah kerentanan yang anda tidak ketahui, dan OWASP Top 10 merangkumi yang paling mungkin menyebabkan pelanggaran sebenar.

Memahami **mengapa ia bernilai** — sebagai senarai semak keutamaan tentang apa yang perlu dipertahankan, bahasa bersama untuk membincangkan keselamatan, dan sumber pendidikan untuk mempelajari kelas kerentanan — mencerminkan peranannya sebagai rujukan industri yang asas.

OWASP Top 10 dirujuk secara meluas dalam perbincangan keselamatan, latihan, dan piawaian, menjadikan kebiasaan dengannya satu jangkaan asas bagi pembangun yang prihatin akan keselamatan.

Memandangkan keselamatan aplikasi web memerlukan pertahanan terhadap kerentanan biasa dan kritikal dan OWASP Top 10 ialah rujukan standard yang mengenal pasti mereka (broken access control, injection, cryptographic failures, dll.), dan memandangkan memahaminya menyediakan kesedaran penting tentang apa yang perlu dicegah, memahami OWASP Top 10 ialah pengetahuan keselamatan asas yang bernilai — rujukan kesedaran standard untuk risiko keselamatan aplikasi web, penting untuk mengetahui kerentanan utama yang perlu dipertahankan, dan garis dasar bagi mana-mana pembangun atau pasukan yang membina aplikasi selamat, kerap dirujuk dalam industri dan pendidikan keselamatan.