Siapa sangka? Masalah lawas di dunia coding ternyata masih jadi momok terbesar!
Tahun 2024, Cross-Site Scripting (XSS) dinobatkan jadi kelemahan perangkat lunak paling berbahaya versi daftar tahunan Common Weakness Enumeration (CWE). Daftar ini dibuat oleh MITRE dan Cybersecurity and Infrastructure Agency (CISA), dan tahun ini mereka pakai cara baru buat ngurutin kelemahan software berdasarkan seberapa sering muncul dan seberapa parah efeknya.
Hasilnya? XSS, yang tahun lalu ada di posisi dua, sukses naik jadi nomor satu. FYI, XSS itu bug yang bikin hacker bisa masukin kode berbahaya ke website atau aplikasi kamu. Bahaya banget, kan?
Masalah Klasik, Masih Bikin Panik
Menurut Alec Summers, bos di proyek CVE MITRE, daftar ini nunjukin satu hal: Masalah-masalah lama masih betah di daftar teratas. Bukan cuma XSS, ada juga Out-of-Bounds Write (juara tahun lalu) dan SQL Injection (juara tiga, lagi-lagi sama kayak tahun lalu).
“Meski ada beberapa perubahan di daftar, nyatanya kelemahan klasik kayak XSS dan SQL Injection masih bertahan. Ini jadi pengingat kalau kita perlu terus waspada,” kata Summers.
Yang bikin menarik, ada pendatang baru di peringkat atas: Cross-Site Request Forgery (CSRF), yang loncat dari posisi sembilan ke posisi empat. Mungkin ini karena deteksinya makin canggih, atau hacker lagi suka banget pakai teknik ini.
Apa Artinya Buat Kita?
Buat kamu yang hobi coding, daftar ini wajib banget jadi panduan biar software yang kamu bikin lebih aman. Summers kasih tips: Jangan cuma fokus bikin fitur keren, tapi pastiin juga kodenya aman dari bug-bug klasik ini.
Oh iya, jangan lupa cek juga software dari vendor atau pihak ketiga yang kamu pakai. Karena sekarang, rantai pasok software (software supply chain) makin kompleks, jadi satu bug kecil aja bisa nular ke mana-mana.
“Kalau dari awal kita udah cegah kelemahan ini, bakal lebih hemat biaya dan aman jangka panjang,” tambah Summers.
Komunitas Global Ikut Andil
Fun fact, tahun ini daftar CWE dibuat bareng 148 organisasi dari seluruh dunia! Ini pertama kalinya seluruh komunitas CVE Numbering Authorities (CNAs) terlibat langsung. Sekarang ada 421 CNAs dari 40 negara, jadi makin banyak perspektif yang bikin daftar ini lebih solid.
Jadi, Apa Pelajaran yang Bisa Diambil?
Kalau kamu developer, ingat: bug klasik tetap bahaya klasik. Jangan remehkan kelemahan lama kayak XSS, SQL Injection, atau CSRF. Karena kalau kelemahan ini nggak diperbaiki, hacker bisa pesta pora!
Dengan info ini, yuk tingkatkan keamanan software kita bareng-bareng. Jangan cuma bikin keren, tapi juga bikin aman.