Elevation of Privilege: Bisa Masuk Karena Ngaku-Ngaku Admin

2025-04-27

stride

"User Biasa, Tiba-tiba Jadi Super Admin?"

Bayangin, kamu daftar sebagai user biasa. Tapi gara-gara bug kecil, tiba-tiba kamu bisa akses data semua orang, edit setting, bahkan nendang admin asli. 😮‍💨

Inilah Elevation of Privilege (EoP).

Di STRIDE, EoP terjadi saat seseorang mendapatkan hak akses lebih tinggi daripada seharusnya.

Dan ini, bro sis, bisa berujung bencana.

Apa Itu Elevation of Privilege?

Ilustrasi Elevation of Privilege STRIDE

Elevation of Privilege (EoP) terjadi ketika attacker berhasil:

  • Mengakses fungsi atau data yang bukan haknya.
  • Naik level dari user biasa ➔ admin, atau lebih.

Bisa karena bug, kesalahan konfigurasi, atau kelemahan kontrol akses.

Contoh Kasus Elevation of Privilege

1. "Kayanya Udah Ga Ada" — Hidden Admin Panel

Contoh: Dulu banyak aplikasi nyembunyiin admin panel cuma dengan URL "/admin", tanpa proteksi tambahan.

Sebab:

  • Reliance ke "security by obscurity".
  • Tidak ada pengecekan role user.

Akibat:

  • User biasa bisa buka dashboard admin.
  • Potensi ngacak-ngacak data internal.

2. "Masih Banyak Kejadian Kayanya" — Broken Access Control

Contoh: User biasa bisa akses API endpoint yang seharusnya hanya buat admin, karena server gak ngecek role/permission user.

Sebab:

  • API hanya cek "user authenticated", tapi gak cek "user authorized".
  • Tidak ada middleware kontrol akses yang proper.

Akibat:

  • User bisa baca, edit, delete data sensitif.
  • Data breach besar bisa terjadi.

3. "Wah Ini Advance" — Privilege Escalation di Server

Contoh: Attacker nemu exploit di service, berhasil naik dari "guest" ke "root" di server.

Sebab:

  • Vulnerability di OS, service, atau konfigurasi salah.
  • Tidak ada patching rutin.

Akibat:

  • Server sepenuhnya dikuasai attacker.
  • Bisa install malware, backdoor, ransomware.

🎁 Bonus "Kasus Lucu Tapi Nyata" — Reset Password Admin

Contoh: Ada website yang fitur "Forgot Password"-nya bisa dipakai untuk reset akun admin, karena validasi emailnya lemah.

Sebab:

  • Tidak ada pembatasan siapa yang bisa pakai forgot password.
  • Tidak ada validasi multi-factor atau approval.

Akibat:

  • User biasa bisa takeover akun admin cuma modal reset password. 😭

Way of Working: Mencegah EoP dari Awal

Langkah-langkah simple tapi powerful:

  • Selalu Cek Authorization: Setiap endpoint, setiap aksi.
  • Role-Based Access Control (RBAC): Role & permission jelas, bukan asumsi.
  • Least Privilege Principle: User cuma dapat hak yang benar-benar perlu.
  • Audit & Logging: Semua akses sensitif harus tercatat.
  • Patching Cepat: Update OS, DB, libraries buat nutup exploit.

Intinya: "Assume everyone will try to level up." 🎮

Kaitan Elevation of Privilege dengan OWASP Top 10

Singkatnya:

  • A01:2021 - Broken Access Control: Penyebab paling umum EoP.
  • A05:2021 - Security Misconfiguration: Salah setting bisa kasih akses ke yang gak berhak.

Kalau access control kamu lemah, siap-siap siapin karpet merah buat attacker. 🚩

Penutup

Elevation of Privilege itu kayak pemain game cheat pakai hack supaya langsung level max.

Masalahnya, ini bukan game. Ini aplikasi kamu yang dipertaruhkan.

Jangan kasih jalan pintas buat user nakal. Bikin tangga level-nya kuat dan aman. 🛡️

"STRIDE bukan checklist, tapi mindset." -- harscode.dev

Konten Terkait :

Denial of Service: Koq bisa Down?!