Apa itu Security Misconfiguration?
Security Misconfiguration adalah kondisi di mana sistem, aplikasi, infrastruktur, atau platform cloud dikonfigurasi dengan cara yang menciptakan kerentanan keamanan — baik karena konfigurasi default yang tidak diubah, pengaturan yang terlalu permisif, fitur yang tidak diperlukan tetap aktif, atau pengelolaan konfigurasi yang tidak konsisten.
Berbeda dari kerentanan teknis seperti SQL Injection yang berakar pada kode yang salah, Security Misconfiguration adalah tentang pengaturan yang salah pada sistem yang kodenya sendiri sudah benar. Database yang tidak dienkripsi karena lupa mengaktifkan enkripsi. Server cloud yang terbuka ke internet karena security group dikonfigurasi terlalu permisif. Panel administrasi yang masih menggunakan password default karena tidak pernah diubah.
Dalam bahasa bisnis: ini adalah kondisi di mana sistem yang seharusnya aman dibiarkan tidak aman karena seseorang tidak mengkonfigurasinya dengan benar — atau tidak mengkonfigurasinya sama sekali.
Mengapa Naik ke Posisi #2?
Lompatan dramatis dari #5 (2021) ke #2 (2025) mencerminkan beberapa pergeseran fundamental:
Eksplosif Adopsi Cloud — Migrasi masif ke cloud dalam 4 tahun terakhir telah menciptakan gelombang baru miskonfigurasi. Cloud infrastructure yang kompleks — dengan ratusan layanan, ribuan pengaturan, dan model shared responsibility yang tidak selalu dipahami — menghasilkan peluang miskonfigurasi yang jauh lebih besar dari on-premise tradisional.
Data yang Tidak Bisa Dibantah: 100% — Dalam dataset OWASP 2025, 100% aplikasi yang diuji memiliki setidaknya satu bentuk miskonfigurasi. Tidak ada satu pun aplikasi yang lolos bersih. Angka ini lebih tinggi dari Broken Access Control (94,55%) dan menjadi alasan utama posisi #2.
Kompleksitas Stack yang Terus Bertumbuh — Aplikasi modern menggunakan puluhan komponen — container, orchestrator, API gateway, message queue, service mesh, CDN, WAF, cloud storage — masing-masing dengan konfigurasi keamanannya sendiri. Semakin banyak komponen, semakin besar peluang salah satu dikonfigurasi dengan tidak tepat.
XXE Diserap — XML External Entity (XXE) yang sebelumnya berdiri sendiri kini diakui sebagai manifestasi dari miskonfigurasi parser XML — memperluas cakupan kategori ini.