OWASP Top 10 adalah daftar standar industri yang menjelaskan sepuluh jenis kerentanan keamanan web paling umum. Salah satunya adalah Broken Authentication — masalah klasik yang masih sering ditemukan sampai sekarang.
Setelah sebelumnya membahas cara mendeteksi Injection Flaws, kali ini kita akan mengenal lebih dalam tentang Broken Authentication dan bagaimana cara mendeteksinya menggunakan pentestindonesia.com.
Apa Itu Broken Authentication?
Broken Authentication (atau kegagalan otentikasi) adalah kerentanan keamanan web yang muncul karena fungsi login dan manajemen sesi tidak diterapkan dengan benar.
Masalah ini memungkinkan penyerang untuk mengambil alih akun pengguna sah atau bahkan menguasai seluruh aplikasi.
Akibatnya bisa fatal — data pribadi (PII) karyawan dan pelanggan bisa bocor hanya karena password lemah atau halaman login yang tidak aman.
Penyebab Utama Broken Authentication
Akar masalahnya ada pada pengelolaan sesi (session management) dan keamanan kata sandi (password security).
Beberapa penyebab umum:
-
Tidak ada kebijakan password yang kuat (misalnya membiarkan password sederhana).
-
Sistem tidak mengatur durasi sesi dengan benar.
-
Pengembang lupa mengganti default credentials seperti “admin/admin”.
-
Tidak ada proses validasi login yang benar.
Kesalahan ini sering terjadi bukan karena niat jahat, tapi karena kurangnya perhatian terhadap keamanan saat pengembangan aplikasi.
Mengapa Broken Authentication Sangat Umum Terjadi?
Banyak developer fokus pada fungsi utama aplikasi agar berjalan dengan baik, sementara keamanan sering dianggap urusan nanti.
Akibatnya, banyak aplikasi modern masih menggunakan cara login yang lemah dan mudah dibobol.
Bagi peretas, kondisi ini adalah ladang emas — mereka hanya butuh kombinasi username dan password yang benar untuk masuk.
6 Jenis Serangan Broken Authentication
-
Credential Stuffing
Penyerang menggunakan kombinasi username dan password dari data bocor di internet untuk mencoba login ke aplikasi lain.
Ini berhasil karena banyak orang memakai password yang sama di banyak situs. -
Missing atau Bypassing Authentication
Terjadi jika sistem tidak melakukan pemeriksaan password dengan benar.
Misalnya, aplikasi tidak membandingkan password yang dimasukkan dengan database — artinya siapa pun bisa login hanya dengan nama pengguna. -
Default Credentials
Kombinasi seperti “admin/admin” atau “root/password” masih sering ditemukan.
Ini bukan bug teknis, tapi kelalaian administrator yang tidak mengganti password bawaan. -
Password Spraying
Serangan ini mencoba banyak akun dengan sedikit password umum seperti “123456”, “password”, atau “welcome”.
Berbeda dari brute force biasa yang menarget satu akun, teknik ini menarget banyak akun sekaligus. -
Session Hijacking
Penyerang mengambil alih sesi pengguna dengan mendapatkan atau menebak session ID, sehingga bisa berpura-pura menjadi pengguna sah. -
Session Fixation
Penyerang memanfaatkan sesi yang tidak dihapus setelah logout.
Jika sesi tidak di-invalidate, penyerang bisa masuk lagi menggunakan ID sesi lama.
Cara Mendeteksi Broken Authentication dengan pentestindonesia.com
-
Gunakan Website Scanner
-
Login ke akun pentestindonesia.com.
-
Buka menu Web Application Testing → Website Scanner.
-
Masukkan URL target dan pilih Full Scan.
-
Jangan gunakan metode autentikasi karena tujuannya mencari halaman yang bisa diakses tanpa login.
-
Setelah selesai, lihat hasil di bagian Interesting Files Found untuk melihat file atau folder yang bisa diakses bebas.
-
-
Gunakan Password Auditor
-
Masuk ke menu Infrastructure Testing → Password Auditor.
-
Masukkan URL target dan pilih opsi Use port from target URL.
-
Pilih layanan “HTTP”.
-
Gunakan daftar Common Usernames dan Common Passwords bawaan.
-
Jalankan pemindaian untuk menemukan password lemah atau bawaan pabrik.
-
Cara Melaporkan Temuan Broken Authentication
Setelah mendeteksi masalah, Anda bisa membuat laporan otomatis:
-
Masuk ke menu Reporting.
-
Pilih temuan yang ingin dimasukkan ke laporan.
-
Gunakan template laporan siap pakai seperti:
-
“Default credentials in use”
-
“Session fixation”
-
“Session does not expire”
-
Template ini sudah berisi deskripsi, tingkat risiko, rekomendasi, dan skor CVE, sehingga Anda tidak perlu menulis manual dari awal.
Anda juga bisa membuat template sendiri sesuai kebutuhan dan menambahkan screenshot, kode, atau catatan tambahan.
Cara Mencegah Broken Authentication
Untuk mencegah kerentanan ini, lakukan langkah-langkah berikut:
-
Terapkan kebijakan password yang kuat, misalnya wajib kombinasi huruf besar, kecil, angka, dan simbol.
-
Batasi waktu sesi dan jumlah login bersamaan per pengguna.
-
Terapkan perlindungan dari brute force seperti rate limiting atau akun dikunci sementara.
-
Edukasi pengguna tentang phishing dan pencurian kredensial.
-
Hapus atau ubah default credentials sebelum sistem digunakan.
-
Invalidasi sesi setelah logout, perubahan password, atau penonaktifan akun.
Administrator juga sebaiknya memantau login ganda dari lokasi berbeda dan memeriksa percobaan brute force untuk mencegah eksploitasi.
Kesimpulan
Broken Authentication sering dianggap masalah kecil, tapi dampaknya bisa besar: pencurian akun, data pribadi, bahkan akses penuh ke sistem.
Gunakan pentestindonesia.com untuk memindai, mendeteksi, dan melaporkan kerentanan ini secara cepat.
Yang paling penting — pastikan kebijakan password dan sesi diterapkan dengan benar di semua sistem Anda.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!