Buku Teknis Bisa Dibaca Awam

Buku berjudul Web Appliation Security dengan anak judul Exploitation and Countermeasures for Modern Web Appliations ini tulisan Andrew Hoffman terbitan O’Reilly tahun 2020. Anyar gress. Buku yang diterbitkan dengan compliments of NGINX dapat di download gratis di sini: https://www.nginx.com/resources/library/web-application-security/

Buku dengan tebal xxxi+298 halaman ini mengungkapkan baik upaya serangan dan eksploitasi maupun pencegahan terhadap aplikasi berbasis web. Pembabakan dalam buku ini dibuka dengan: recon – reconnaissance yang mengungkapkan bagaimana peretas mengumpulkan informasi satu demi satu sebelum melakukan serangan. Bagian ini (dan bagian Preface) dapat dibaca dengan mudah siapa saja. Berikutnya bagian Offense yang menjelaskan bagaimana hacker berpikir dan bertindak menghadapi beberapa kelemahan dari aplikasi berbasis web. Bagian terakhir Defense menjelaskan bagaimana pengembang aplikasi web harus memastikan aplikasinya agar aman (secure).

Penjelasan di bagian Offense dan Defense jelas banyak istilah teknis, karena tujuan penulisan buku ini memang mengamankan aplikasi berbasis web. Penjelasan yang diberikan semakin terang karena Hoffman menyertakan banyak code contoh-contoh script baik yang keliru (membuka kelemahan) maupun yang seharusnya dilakukan pengembang yang berharap aman.

Intermediary-level background in software engineering merupakan skill mimimun yang dipersyaratkan. Betul itu jika agar buku ini dapat dimanfaatkan dengan optimal untuk mengamankan aplikasi berbasis web. Tapi bila kemampuan pembaca belum mencapai tingkat itu atau bahkan pembaca awam tetap akan dapat manfaat dengan membaca buku ini. Bagi pembaca awam, lewati saja istilah teknis yang memang bertebaran, tetap akan mendapatkan sesuatu (pengetahuan).

Sejarah keamanan perangkat lunak yang membuka buku di bab satu misalnya, sebuah pengetahuan yang luar biasa. Hacking (istilah ini digunakan oleh penulis terhadap seseorang yang berkemampuan untuk melakukan penetrasi terhadap aplikasi) ternyata sudah sejak tahun 1930 dikenal melalui The Enigma Machine. Pembahasan berlanjut hingga kondisi 1980an adanya computer hacking, 2000an dengan maraknya world wide web, hingga 2015 hacker di era modern. Bagian ini jelas dapat dibaca oleh siapa saja.

Istilah-istilah XSS, CSRF, XXE, Injection, DOS, hingga penggunaaan layanan server atau aplikasi pihak ketiga dibahas dengan sangat detail. Pembaca awam bisa melewatkan istilah teknis akan tetap mendapat pemahaman baru mengenai apa yang terjadi bila ada berita tentang hacking. Bisa memahami bila misalnya ada berita tentang pembobolan rekening bank dengan memanfaatkan kelemahan aplikasi. Memang tidak semua pembobolan rekening bank disebabkan oleh kelemahan aplikasi bank, banyak yang sebabnya kelemahan pengguna yang terkena dengan istilah social engineering.

Penulis mencontohkan secara detail bagaimana kelemahan aplikasi sebuah bank (dummy) yang memang disiapkan khusus untuk penulisan buku ini. Pembaca dapat belajar langsung dengan melihat contoh-contoh script yang dibuat. Buku ini tetap menarik untuk dibaca semua orang yang tertarik dengan teknologi informasi. Silakan didownload, gratis, free pdf.

Leave a comment

Your email address will not be published. Required fields are marked *