OWASP Web: Tutup Celah Umum

Validasi input dilakukan di server dan klien. Gunakan whitelist untuk nilai yang diizinkan. Encoding konteks mencegah injeksi di output. Pemisahan hak akses mencegah penyalahgunaan. Penanganan kesalahan tidak membocorkan detail sistem.

Otorisasi dicek pada setiap aksi sensitif. Sesi dibuat acak dan sulit ditebak. Cookie dilindungi dengan HttpOnly dan Secure. Token CSRF dipakai untuk permintaan berbahaya. Upaya brute force dibatasi dengan penundaan.

Rahasia disimpan di pengelola secret, bukan di repo. Dependency dipindai rutin dari kerentanan. Audit konfigurasi dilakukan setelah tiap rilis. Log keamanan disimpan dan dipantau aktif. Pelatihan tim mencegah kelalaian berulang.