GHrxexUTk8Cy9ibyQ09EFsI4Tl8sPmI2qnpAKStw
Bookmark

Apa itu XSS? Pengertian, Cara Kerja, dan Cara Mengatasinya

Author
Author
... menit baca
Dengarkan

Perkembangan teknologi selaras dengan meningkatnya cyber crime di dunia digital ini, salah satu serangan nya adalah XSS, XSS adalah sebuah serangan cyber yang tergolong berbahaya. XSS ini dapat menyerang siapa saja, GOOGLE, FACEBOOK, TIK TOK, dan sebagainya tanpa terkecuali. XSS atau yang lebih dikenal dengan cross site scripting ini adalah kerentanan yang digunakan atau dimanfaatkan untuk mencuri informasi sensitive atau juga merusak tampilan sebuah website.

Apa itu XSS? Pengertian, Cara Kerja, dan Cara Mengatasinya

Apa Itu XSS (cross site scripting)

XSS adalah singkatan Cross Site Scripting. XSS merupakan serangan yang masuk ke jenis code injection attack. 

Attacker akan memasukkan sebuah script atau kode yang biasanya berbentuk javascript, ke dalam sistem atau aplikasi milik korban. Tujuan utama dari serangan XSS ini adalah untuk mencuri informasi sensitive yang dimiliki oleh user lain.

XSS ini menjadi salah satu kerentanan yang sangat favorit bagi para bug hunter dikarenakan cukup mudah untuk di lakukan (walaupun tidak semuanya). Walaupun tergolong cukup mudah namun dampak yang dihasilkan dari serangan XSS ini tergolong tinggi, oleh karena itu kita tidak boleh sepele kepada kerentanan XSS ini.

Cara Kerja XSS (cross site scripting)?

Setelah kita mengetahui apa itu XSS, maka hal yang perlu kita ketahui selanjutnya adalah bagaimana XSS dapat bekerja. Perlu kita ketahui bahwa attacker yang menggunakan serangan XSS memang sering sekali di sepelekan oleh developer.

Tapi kalau sudah terjadi serangan, ya bisa apa :). Biasanya attacker memasukkan script atau payload ke halaman website korban melalui chat, kolom komentar, postingan, dan sebagainya yang dapat dilihat oleh korban juga. Jadi kalau attacker melihat atau membaca payload tersebut, payload itu maka attacker dapat mengganggu atau bahkan mengambil data milik korban.

Jenis-Jenis XSS (cross site scripting)

Setelah kita mempelajari apa itu XSS serta cara kerja XSS, sekarang kita harus mengetahui jenis jenis serangan XSS. 

1. Stored XSS

Jenis serangan itu merupakan jenis serangan yang sangat berdampak pada website atau aplikasi tersebut, karena serangan Stored XSS ini sifatnya permanen dan langsung berdampak pada pengguna lainnya.

Payload Stored XSS biasanya disimpan secara permanen di server target, layaknya database, forum pesan, dan sebagainya. 

Alur Stored XSS:

  • Attacker membuat payload xss di form inputan target lalu mengupload payload tersebut.
  • Kemudian payload tersebut terupload dan tereksekusi oleh website atau aplikasi.
  • Korban mengakses website tersebut, lalu website itu mengeksekusi payload yang kita buat tadi.
  • Browser korban kemudian mengeksekusi payload yang kita gunakan

2. Reflected XSS

Kalau serangan Reflected XSS ini adalah jenis cross site scripting yang sifatnya akan tereksekusi jika korban membuka link yang telah disisipkan payload oleh attacker

Alur Reflected XSS:

  • Attacker membuat URL yang mengandung payload di dalamnya.
  • Attacker memanipulasi korban agar membuka URL yang sudah kita sisipi payload.
  • Website atau aplikasi mengeksekusi payload xss tadi.
  • Browser korban kemudian mengeksekusi payload yang kita gunakan.

3. Blind XSS

Sama seperti namanya Blind XSS adalah kerentanan yang attacker itu sendiri sebenarnya tidak mengetahui siapa yang terkena payload dan payload akan tersimpan kemana oleh server. 

Biasanya Blind XSS akan tereksekusi oleh orang-orang yang punya privilege, seperti Admin, Moderator dan hak khusus lainnya. 

4. Self XSS

Kalau Self XSS ini adalah serangan XSS yang hanya tereksekusi di device kita, karena payload hanya akan tersimpan di akun yang kita miliki, jenis serangan ini adalah serangan yang dampaknya sangat kecil, namun hal yang terlihat Kecil jangan di sepelekan. 

Serangan Self XSS ini dapat di padukan dengan serangan Clickjacking dan akan menjadi GOOD XSS. Sehingga dapat dieksekusi juga oleh device korban. 

5. DOM Based XSS

Kalau serangan tipe ini cukup rumit, karena Serangan tipe DOM XSS ini memanfaatkan kesalahan coding dari programmer di area Document Object Model (DOM), developer tidak menggunakan sanitasi yang tepat. 

Attacker harus memahami pemograman Javascript dan harus menganalisa alur dari DOM tersebut agar dapat menggunakan jenis serangan ini.

Cara Mencegah XSS

Nah langkah terakhir untuk memahami XSS adalah mengetahui pencegahan dari serangan XSS ini. Beberapa cara guna mencegah XSS :

Periksa keamanan situs

Kita harus selalu menjaga keamanan aplikasi atau website yang kita miliki, Kita harus senantiasa menghapus tag tag yang menurut kita tidak penting, bisa juga melakukan filtering, validasi sampai melakukan encoding.

Kita juga bisa menggunakan aplikasi pihak ketiga seperti website vulnerability scanner atau VirusTotal untuk melakukan analisis terhadap keamanan situs. 

Mengadopsi Crossing Boundaries Policy

Dengan adanya crossing boundaries policy membuat user bisa memasukkan informasi login sebagai bentuk otentikasi. Bukan itu saja, developer juga bisa mengatur ulang serta meminta pengguna untuk memasukkan kredensial tambahan di halaman website yang kita inginkan.

Menambahkan SDL

SDL atau yang lebih dikenal dengan nama Security Development Lifecycle dapat membatasi jumlah kesalahan coding atau pelanggaran keamanan yang dibuat oleh developer. Sisi positifnya developer dapat membuat aplikasi yang lebih aman dari sebelumnya.

Menyewa Jasa Cyber Security

Salah satu pilihan buat developer yang tidak tahu atau tidak mempunyai waktu luang untuk belajar keamanan siber, dapat menyewa jasa dari Cyber security consultan untuk mengatasi masalah terkait keamanan di website kita

Related Posts
Posting Komentar
Diposting oleh:
Author
Author
“Yes I'm seeking for someone, to help me. So that some day I will be the someone to help some other one.”

Related Posts

Posting Komentar