Apa itu XSS (Cross Site Scripting)? Jenis dan Cara Menghindarinya

Teknatekno.com – Hai Teknozen! Kamu tau apa itu XSS? Cross Site Scripting (XSS) merupakan salah satu jenis serangan cyber berbahaya. Serangan ini mengeksploitasi kerentanan XSS untuk mencuri data, mengendalikan sesi pengguna, menjalankan kode jahat, atau digunakan sebagai bagian dari serangan phishing.

Serangan Cross Site Scripting (XSS) juga pernah terjadi pada platform populer seperti Facebook, Google, dan Paypal. Meskipun kerentanan Cross Site Scripting (XSS) termasuk dalam jenis serangan cyber berbahaya, namun dari sebagian besar korban tidak menyadari bahwa mereka sedang diserang.

Bahkan Cross Site Scripting (XSS) ini masuk ke dalam daftar top 10 kerentanan OWASP (Open Web Application Security Project), yang bahayanya tidak bisa di ragukan lagi.

Mengenal Apa itu XSS

Cross Site Scripting (XSS) adalah salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs.

Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang bisa mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Jenis Serangan Cross Site Scripting

Berikut jenis-jenis serang XSS yang perlu kamu ketahui:

1. Stored XSS (Persistent XSS)

Stored XSS merupakan jenis XSS yang paling merusak. Dalam stored XSS, skrip jahat yang disuntikkan akan disimpan secara permanen di server target, seperti database, forum pesan, visitor log, dan lain-lain.

2. Reflected XSS (Non-persistent XSS)

Reflected XSS terjadi ketika skrip berbahaya dipantulkan dari web aplikasi ke browser korban.

3. DOM-based XSS

Serangan ini terjadi jika web aplikasi menulis data ke Document Object Model (DOM) tanpa sanitization yang tepat. Penyerang bisa memanipulasi data ini untuk memasukkan konten XSS pada halaman web seperti kode Javascript yang berbahaya.

Cara Mencegah Serangan Cross Site Scripting (XSS)

Ada tiga cara yang bisa kamu lakukan untuk mencegah serangan XSS, diantaranya:

1. Filtering

Dengan mewaspadai karakter-karakter khusus, seperti:

  • Terletak pada isi dari elemen blok level
    – “<” : pembuka sebuah tag
    – “&”: penanda sebuah entitas
    – “>”
  • Terletak di dalam nilai suatu atribut
    – diapit tanda petik ganda
    – diapit dengan petik tunggal
    – tanpa diapit tanda petik
    – “&” dengan conjunction
  • Terletak pada URL
    – Spasi, tabulasi dan pindah baris sebagai penanda akhir dari suatu URL
    – “&” menandai suatu entitas, atau batas parameter CGI
    – Karakter yang bukan ASCII : tidak ada karakter non-ASCII di URL
  • “%”
  • Terletak di antara <SCRIPT> dengan </SCRIPT> : titik koma, tanda kurung, kurung kurawal dan ganti garis.
  • Terletak di dalam server side script yang akan mengkonversikan tanda seru di input menjadi tanda petik ganda di output.

2. Validasi

Teknik ini dilakukan untuk menjamin hanya input yang tepat yang akan dipilih.

3. Encoding

Dengan melakukan encoding, data kamu tidak akan hilang, meskipun pengkodean karakter yang dinilai membahayakan.

Kesimpulan

Cross Site Scripting (XSS) adalah salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs.

Nah, itulah penjelasan dari Teknatekno mengenai apa itu XSS, mulai dari pengertiannya, jenis-jenis XSS hingga cara menghindari XSS. Semoga bermanfaat!

Cek Berita dan Artikel Teknatekno.com Lainnya di Google News

Back to top button