Demi menjaga keamanan siber (cyber security) agar tidak mengalami ancaman, kamu wajib mengenal istilah yang satu ini. Tidak berbeda jauh dengan Common Vulnerabilities and Exposures (CVE), ini adalah CWE. Lantas, apa itu Common Weakness Enumeration (CWE) dan script seperti apa yang dianggap rentan terhadap bug?
Apa Itu Common Weakness Enumeration (CWE)?
Common Weakness Enumeration (CWE) adalah daftar yang menampilkan keberadaan bug pada software atau hardware, yang berbahaya bagi perusahaan.
Jika biasanya penyerang akan menggunakan celah untuk dibobol, tidak dengan CWE ini, penyerang atau hacker biasanya akan memanfaatkan celah tersebut untuk mencuri data rahasia dari website yang menjadi target.
Informasi rahasia yang didapat bisa saja dijual atau disebarluaskan oleh pihak yang tak bertanggungjawab. Tak hanya bagi pelanggan atau klien, hal ini juga sangat berbahaya bagi keamanan data pribadi atau perusahaan.
Beberapa tipe bug yang biasanya terdeteksi CWE adalah XSS, SQLi, dan RCE. Selain itu, sama seperti CVE (Common Vulnerabilities Exposure), CWE juga banyak jenisnya, tergantung CWE ID yang digunakan.
CWE-200
CWE-200 adalah salah satu bentuk bug atau kerentanan yang mengekspos atau membocorkan (leaking) data berupa informasi sensitif dan rahasia saat hacker memiliki akses ke informasi tersebut. Infomasi sensitif yang dimaksud bisa dalam bentuk:
- Informasi rahasia pribadi, seperti pesan, data keuangan, data kesehatan, lokasi geografis, atau detail kontak
- Status sistem dan environment, seperti sistem operasi dan package yang sudah terinstal.
- Rahasia bisnis dan properti intelektual.
- Status dan konfigurasi jaringan.
- Kode detail produk.
- Metadata, seperti koneksi yang tersambung dan header pesan.
Beberapa informasi penting ini akan diambil dari:
- Informasi para pengguna produk.
- Orang atau organisasi yang digunakan oleh produk, meskipun mereka bukan pemakai produk langsung.
- Pengelola produk, termasuk sistem Admin dan/atau jaringan tempat produk tersebut beroperasi.
- Developer.
CWE-89
CWE-89 adalah salah satu bug pada SQLi (SQL injection), yaitu teknik yang menyalahgunakan celah atau bug keamanan pada lapisan basis data di sebuah aplikasi. Bug atau celah ini terjadi ketika input dari pengguna tidak difilter dengan benar. Contohnya, pada kolom form username login yang seharusnya hanya dapat diisi atau dimasukan dengan huruf atau angka, tetapi bisa diisi dengan simbol atau karakter lain seperti (-, =. ‘) sehingga memunculkan error MySQL dan hacker atau penyerang dapat memanfaatkan kondisi tersebut untuk memasukan query dari SQL.
Script di bawah ini merupakan salah satu script yang rentan terhadap bug SQLi:
<?php $id = $_GET[‘id’];
$db = mysql_connect(‘localhost’, ‘admin’, password123);
mysql_select_db(“bug”, $db);
$query = “SELECT * FROM pengguna WHERE id = ‘”.$id.”‘”;
$hasil = mysql_query($query);
echo $hasil; ?>
Memperbaiki SQL Injection
Jika masalah ini sudah menimpamu, kamu bisa menggunakan script dibawah ini untuk memperbaikinya:
<?php
$db_host = “localhost”;
$db_name = “admin”; // database name
$db_user = “admin”; // database user
$db_pass = “password123”; // database password
$koneksi = “mysql:host=$db_host;dbname=$db_name”;
try
{
$db = new PDO($koneksi, $db_user, $db_pass);
}
catch (exception $e)
{
echo “error”;
exit();
}
$id = $_GET[‘id’];
$sql = “SELECT * FROM pengguna WHERE id = $id”;
$stmt = $db->prepare($sql);
$stmt->execute();
$objek = $stmt->fetchObject();
echo $objek->nama;
?>
Cara lainnya, kamu bisa menggunakan PHP Filter yang biasanya digunakan untuk memvalidasi dan menyaring data dari sumber yang tidak terpercaya dan tidak aman.
Selain PHP Filter, kamu juga bisa menggunakan WAF (Web Application Firewall). Di Dewaweb, kamu bisa mendapatkan WAF Imunify360 yang dapat mengamankan server layer 7. Jika ingin tahu informasi lebih lanjut, kunjungi halaman FAQ Imunify360.
Simpulan
Setelah memahami apa itu Common Weakness Enumeration (CWE) hingga cara memperbaikinya, semoga kamu bisa lebih memahami bahwa keamanan data itu sangat penting sekaligus rawan dicuri jika kamu tak berhati-hati. Oleh karena itu, amankan pula website-mu dengan memilih hosting murah terpercaya dengan ISO 27001 yang menjamin keamanan datamu.
Demikian artikel ini, jangan sungkan untuk meninggalkan ide-ide topik yang ingin kamu baca di blog Dewaweb. Semoga artikel ini membantu!