Seberapa Penting security Assesment dan Threat Modeling pada Aplikasi Internet Banking?

Temuan ini tentu saja sangat kritikal dan harus segera diperbaiki. Untuk melakukan testing apakah session management telah diimplementasikan dengan benar adalah dengan menggunakan 2 user dengan roles yang sama dan lakukan 4 testing diatas.

4. Metode reset password yang tidak aman.

Beberapa aplikasi internet banking memiliki metode reset password yang tidak aman diantaranya

  4.1. Aplikasi internet banking mengirimkan URL reset password lewat email akan tetapi URL ini dapat digunakan berulang-ulang dan tidak expire setelah 30 menit.
  4.2. URL reset password yang dikirimkan aplikasi internet banking tidak random
  4.3. Beberapa aplikasi internet banking mengirimkan password dengan plain text. Walaupun nasabah diharapkan mengganti password nya ketika akan melakukan login kembali, akan tetapi metode ini dianggap tidak aman.

5. Roles maker yang dapat melakukan operational checker (aproval)
Untuk aplikasi internet banking coorporate biasanya memiliki 2 roles yaitu maker dan checker. Maker biasanya hanya di-authorized untuk membuat transaksi. Dan checker adalah roles yang akan melakukan approve terhadap transaksi maker.
Beberapa aplikasi internet banking roles maker masih dapat melakukan aproval, asal mengetahui URL atau format request dari checker.

Walaupun cukup sulit pagi penyerang yang hanya memiliki akses checker untuk mengetahui URL dan format request checker, akan tetapi temuan ini tetap harus diperbaiki karena akan membingungkan pada saat melakukan audit dimana user maker seharusnya tidak bisa melakukan aproval.

Untuk memastikan aplikasi internet banking selalu aman, lakukan security assesment dan threat modeling setiap ada fitur baru yang akan dirilis pada aplikasi internet banking. Lakukan juga monitoring minimal 6 bulan setelah fitur tersebut di-launch.

Terimakasih telah membaca artikel ini.