Aspek-aspek dalam application control framework

1.   Boundary Control (Kontrol Batas):

Aspek ini berkaitan dengan menentukan dan mengendalikan batasan dalam aplikasi. Tujuannya adalah untuk mencegah akses atau manipulasi yang tidak sah terhadap data atau fungsi aplikasi. Kontrol batas melibatkan identifikasi dan validasi input yang diterima oleh aplikasi, serta pengendalian akses ke fitur atau modul tertentu. Misalnya, aplikasi dapat memvalidasi tipe data input, memeriksa batasan nilai, atau memverifikasi integritas data sebelum memprosesnya.

 

2.     Input Control (Kontrol Input):

Aspek ini fokus pada validasi dan pengamanan terhadap input yang diterima oleh aplikasi. Tujuannya adalah untuk mencegah serangan keamanan seperti SQL injection, Cross-Site Scripting (XSS), atau deserialisasi yang tidak aman. Kontrol input melibatkan validasi input untuk memastikan bahwa data yang dimasukkan sesuai dengan format yang diharapkan, serta pembersihan atau penyaringan input untuk menghilangkan karakter berbahaya atau tidak diinginkan. Secara umum, teknik yang digunakan dalam kontrol input meliputi validasi tipe data, sanitasi input, dan pengamanan terhadap input yang mengandung skrip berbahaya.

 

3.     Communication Control (Kontrol Komunikasi):

Aspek ini berkaitan dengan pengendalian komunikasi antara aplikasi dengan entitas eksternal seperti pengguna, sistem lain, atau jaringan. Tujuannya adalah untuk melindungi integritas, kerahasiaan, dan otentikasi data yang dikirim melalui jaringan. Kontrol komunikasi melibatkan penggunaan protokol komunikasi yang aman seperti HTTPS untuk melindungi data yang dikirim melalui enkripsi. Selain itu, mekanisme seperti verifikasi sertifikat digital, tanda tangan digital, atau mekanisme otentikasi dapat digunakan untuk memastikan identitas dan keaslian komunikasi.

 

4.     Processing Control (Kontrol Proses):

Aspek ini berkaitan dengan pengendalian dan pengamanan terhadap proses eksekusi aplikasi. Hal ini mencakup validasi dan pengamanan terhadap logika bisnis, alur proses, dan operasi yang dilakukan oleh aplikasi. Kontrol proses melibatkan verifikasi izin dan otorisasi untuk memastikan bahwa pengguna hanya dapat mengakses dan menjalankan operasi yang sesuai dengan wewenang mereka. Selain itu, pemeriksaan integritas data dan validasi input juga dapat dilakukan pada tahap ini untuk memastikan bahwa data yang diproses oleh aplikasi valid dan aman.

 

5.     Database Control (Kontrol Basis Data):

Aspek ini melibatkan pengendalian dan pengamanan terhadap akses dan manipulasi data dalam basis data yang digunakan oleh aplikasi. Kontrol basis data bertujuan untuk melindungi keutuhan data, kerahasiaan, serta mencegah akses yang tidak sah atau perubahan yang tidak diizinkan. Hal ini dapat melibatkan penerapan kebijakan keamanan pada tingkat basis data, seperti pengaturan hak akses pengguna dan pengendalian akses ke tabel atau kolom tertentu. Selain itu, penggunaan enkripsi data dan audit aktivitas basis data juga merupakan bagian dari kontrol basis data.

Refrensi :

·       OWASP Application Security Verification Standard (ASVS): https://owasp.org/www-project-application-security-verification-standard/

·       NIST SP 800-53: Security and Privacy Controls for Federal Information Systems and Organizations: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final