Tag Archives: RIPS

Secure Coding

Wah sudah lama juga tidak menulis di blog ini. Konsep blog ini lebih serius dan lebih berisi dengan blog satunya. Yah, tapi karena alasan klasik, membuat tulisan yang lebih serius dan berisi rasanya lebih sulit dan perlu meluangkan waktu khusus, daripada tidak ada tulisan apa-apa, kali ini saya akan coba tulis mengenai secure coding.

Secure coding masih merupakan sesuatu yang baru di Indonesia. Sesuatu yang cepat dan sensasional lebih disukai daripada sesuatu yang dilakukan konsisten dan hasilnya baru akan terlihat perlahan-lahan. Oleh karena itu defacer lebih terkenal daripada mereka yang mencari vulnerability dan menulis exploit.

Saya senang saat setahun yang lalu turut diundang menjadi salah satu pembicara dalam seminar yang digagas ACAD-CSIRT. Tajuk seminar ini begitu bagus, Stop the buffer overflow. Stop the vulnerability. Start writing the secure code.

Saya sendiri, mempresentasikan soal proyek Secure Coding di OWASP. Saya sempat merekam beberapa video pendek dalam acara ini.

Saat ini saya sedang ada pekerjaan melakukan code review dalam aspek aplikasi. Jujur, saya masih harus belajar banyak. Selama perjalanan, saya coba sempatkan baca teori mengenai static analysis tools. Paper RIPS ini, biarpun sudah agak lama, masih cukup relevan.

Beberapa hal yang saya ingat antara lain. PVF: Potentially Vulnerable Function, merupakan fungsi-fungsi yang dikelompokkan sebagai fungsi yang memiliki celah keamanan. Jadi saat static analysis tool mendeteksi penggunaan fungsi ini, ia akan melakukan analisis lebih lanjut.

Nah analisis lebih lanjut ini menjadi menarik lagi. Nanti akan dilakukan analisis mundur ke belakang. Apakah penggunaan PVF ini sudah ditangani dengan fungsi sanitasi atau belum. Jika belum, maka akan diidentifikasi sebagai sink. Lalu diperiksa lagi, apakah PVF ini akan menerima input dari pengguna atau tidak. Jika ya, maka input pengguna ini disebut sebagai source.

Dan seterusnya. Masih harus banyak baca dan latihan lagi…