🛡️ Keamanan Web

Level: Advanced

Keamanan Web adalah praktik melindungi aplikasi dari serangan yang dapat mencuri data, merusak sistem, atau mengambil alih kontrol. Bayangkan website seperti rumah: jika pintu dan jendela tidak dikunci, pencuri bisa masuk dengan mudah.

📖 Ancaman Umum

SQL Injection: penyerang menyisipkan query SQL berbahaya.
XSS (Cross-Site Scripting): penyerang menyisipkan script berbahaya ke halaman web.
CSRF (Cross-Site Request Forgery): penyerang memaksa user melakukan aksi tanpa sadar.
Brute Force: mencoba kombinasi password berulang-ulang.
Session Hijacking: mencuri session ID untuk mengambil alih akun.

📖 Best Practices

Gunakan prepared statements atau ORM untuk mencegah SQL Injection.
Escape/encode input user untuk mencegah XSS.
Gunakan CSRF token pada form.
Hash password dengan algoritma kuat (bcrypt, Argon2).
Gunakan HTTPS untuk enkripsi komunikasi.
Batasi percobaan login (rate limiting).
Gunakan helmet (Express middleware) untuk menambah header keamanan.

🔹 Contoh: SQL Injection vs Prepared Statement

// ❌ Rentan SQL Injection
db.query("SELECT * FROM users WHERE nama = '" + req.body.nama + "'");

// ✅ Aman dengan prepared statement
db.query("SELECT * FROM users WHERE nama = ?", [req.body.nama]);

🔹 Contoh: Express Helmet

const helmet = require("helmet");
app.use(helmet());

🛠️ Praktik Kecil

Buat form login sederhana, lalu:

Gunakan prepared statement untuk query database.
Tambahkan middleware helmet di Express.
Gunakan HTTPS (self-signed certificate untuk lokal).

🎮 Mini Challenge

Buat aplikasi Express dengan fitur keamanan:

Form login dengan validasi input.
Gunakan bcrypt untuk hash password.
Tambahkan CSRF token pada form.
Gunakan helmet untuk menambah header keamanan.

Tugas tambahan: Implementasikan rate limiting untuk mencegah brute force login.