<![CDATA[Keamanan aplikasi web merupakan aspek krusial dalam melindungi data sensitif pengguna sekaligus menjaga kepercayaan terhadap layanan digital. Seiring meningkatnya pemanfaatan aplikasi berbasis web, risiko serangan siber juga semakin kompleks, terutama terkait kontrol akses dan kerahasiaan data. Penelitian ini bertujuan untuk mengidentifikasi serta menganalisis kerentanan keamanan pada aplikasi invoice berbasis web dengan alamat https://invoice.masdzikry.com. Metode penelitian menggunakan pendekatan eksperimen melalui penetration testing, dengan bantuan Burp Suite untuk melakukan manipulasi permintaan (request), analisis parameter, serta pengujian bypass otorisasi. Hasil pengujian mengungkapkan dua kerentanan utama yang bersifat kritis. Pertama, Insecure Direct Object Reference (IDOR), di mana pengguna biasa dapat mengakses faktur milik pengguna lain hanya dengan memodifikasi parameter id pada endpoint /invoices/{id}. Kedua, Broken Access Control yang disertai dengan Sensitive Data Exposure, ditemukan melalui penyisipan header X-Original-Url yang memungkinkan pengguna tanpa hak istimewa memperoleh akses tidak sah ke halaman administratif serta data sensitif administrator. Kedua temuan ini memiliki tingkat risiko tinggi menurut klasifikasi OWASP, karena berpotensi menyebabkan kebocoran data finansial, penyalahgunaan akses, hingga pengambilalihan akun. Berdasarkan temuan tersebut, penelitian ini merekomendasikan penerapan kontrol otorisasi berbasis peran (Role-Based Access Control), validasi parameter di sisi server, penonaktifan header manipulatif, serta penerapan logging, monitoring, dan audit keamanan secara berkala sesuai dengan standar OWASP Application Security Verification Standard (ASVS). Implementasi langkah-langkah mitigasi ini diharapkan dapat meningkatkan ketahanan aplikasi terhadap ancaman eksploitasi dan memperkuat kepercayaan pengguna terhadap sistem.]]>
