Monitor Teknologi
Banner
  • PC & MOBILE
    • Apps
    • Games
    • Hardware
    • Internet
    • Security
    • Tips & Trick
  • Networking
    • Cisco
    • MikroTik
    • SysAdmin
  • Programming
Home » Apa Itu Serangan XSS (Cross-Site Scripting)?

Apa Itu Serangan XSS (Cross-Site Scripting)?

Juni 12, 2020
Apa Itu Serangan XSS

Perlindungan terhadap kerentanan teratas seperti Cross-Site Scripting (XSS) sangat penting karena situs menyimpan informasi penting. Serangan XSS dapat memiliki beragam kerusakan mulai dari peretas yang menyebarkan worm di situs web hingga peretas yang mencuri data sensitif seperti pencurian identitas atau bahkan melakukan kejahatan terkait keuangan. Lalu apa itu serangan XSS?

Baca Juga: 10 Jenis Serangan Cyber Yang Umum Digunakan

DAFTAR ISI

  • Apa Itu Serangan XSS?
  • Jenis Serangan XSS
    • 1. Reflected XSS
    • 2. Stored XSS
    • 3. DOM XSS
  • Bagaimana Serangan XSS Bekerja
  • Dampak Serangan XSS
  • Mencegah Serangan XSS
    • 1. Analisis Keamanan Situs
    • 2. Menambahkan SDL
    • 3. Mengadopsi Crossing Boundaries Policy
    • 4. Menggunakan Tag Meta Yang Benar
  • Kesimpulan

Apa Itu Serangan XSS?

Cross-Site Scripting atau serangan XSS adalah eksploitasi keamanan di mana penyerang menempatkan malicious client-end code ke laman web.

Ini telah menjadi serangan paling lazim yang telah ada selama lebih dari tiga dekade sekarang. Semua situs web utama telah dipengaruhi oleh eksploitasi kerentanan ini.

Penyerang yang menggunakan kerentanan XSS mencuri data pengguna, atau mengontrol session pengguna, menjalankan malicious code atau bahkan menggunakannya sebagai komponen penipuan phishing utama.

Jenis Serangan XSS

Serangan XSS dapat secara luas diklasifikasikan ke dalam 3 kategori berikut:

1. Reflected XSS

Reflected XSS juga dikenal sebagai serangan XSS yang tidak persisten atau menetap. Dalam kasus serangan reflected XSS, skrip berbahaya dipantulkan ke situs web lain di browser pengguna. Ini terjadi ketika input pengguna dari URL atau data POST tercermin pada halaman tanpa disimpan, sehingga memungkinkan penyerang untuk menyuntikkan konten berbahaya.

Ini berarti bahwa seorang penyerang harus mengirim URL jahat atau formulir posting kepada korban untuk memasukkan payload, dan korban harus mengklik tautan. Payload semacam ini juga umumnya ditangkap oleh filter XSS bawaan di browser pengguna, seperti Chrome, Internet Explorer atau Edge.

2. Stored XSS

Stored XSS, juga dikenal sebagai XSS persisten, termasuk memasukkan kode berbahaya langsung ke aplikasi web. Ini terjadi ketika payload disimpan, misalnya dalam database dan kemudian dieksekusi ketika pengguna membuka halaman pada aplikasi web.

3. DOM XSS

DOM XSS adalah bentuk serangan XSS di mana skrip berbahaya hadir dalam Document Object Model alih-alih HTML. Dalam serangan Cross-Site Scripting yang reflected dan stored, Kalian dapat melihat payload kerentanan di halaman respons tetapi dalam XSS berbasis DOM, kode sumber HTML dan respons serangan akan persis sama, yaitu payload tidak dapat ditemukan di responnya. Itu hanya dapat diamati pada saat runtime atau dengan menyelidiki DOM halaman.

Bagaimana Serangan XSS Bekerja

Serangan XSS berbeda dari sebagian besar serangan lapisan aplikasi. Di sini, penyerang menyerang aplikasi pengguna dan bukan aplikasi atau servernya. Serangan XSS bekerja dengan menempatkan kode berbahaya, biasanya menggunakan client-side script ke output aplikasi web.

Secara tradisional, sebagian besar situs web memiliki beberapa titik injection seperti search fields, online feedback forms, cookies yang muncul sebagai target lunak untuk setiap cross-site scripting.

Salah satu motif paling umum di balik serangan XSS adalah untuk mendapatkan wawasan dari data cookie. Karena cookie biasanya digunakan dalam metode yang salah untuk menyimpan informasi seperti Session ID, preferensi pengguna atau bahkan detail login seorang pengguna.

Client-side scripts tidak memiliki dampak langsung pada informasi sisi server. Namun, masih ada celah pada keamanan situs menggunakan manipulasi DOM (Document Object Model) untuk mengubah nilai formulir atau mengalihkan tindakan formulir untuk mengirim data yang dikirimkan di situs web penyerang.

Dampak Serangan XSS

Kerusakan karena serangan kerentanan XSS dapat didiversifikasi ketika terjadi pada aplikasi web. Mulai dari session pengguna yang dibajak dan, ketika digunakan dengan serangan Social engineering, dapat menyebabkan hilangnya data sensitif pengguna. Dengan eksploitasi serangan XSS, penyerang dapat meniru korban dan mengambil alih akunnya.

Mencegah Serangan XSS

Ada beberapa langkah dan strategi yang dapat digunakan oleh pemilik situs web untuk mencegah serangan XSS. Beberapa di antaranya adalah:

1. Analisis Keamanan Situs

Untuk mencegah serangan XSS, pemilik situs web bahkan dapat menggunakan website vulnerability scanner seperti Sucuri atau VirusTotal untuk menganalisi keamanan situs. Ini membantu pemilik situs web mengetahui informasi audit lengkap tentang kelemahan dan kerentanan keamanan yang ada di situs mereka. Ini juga memastikan bahwa situs web mereka aman dan tepercaya.

2. Menambahkan SDL

SDL adalah singkatan dari Security Development Lifecycle. Menambahkan SDL di aplikasi web dapat membatasi jumlah kesalahan coding dan pelanggaran keamanan.

Ini membantu pengembang membangun perangkat lunak yang sangat aman, termasuk menjaga dari serangan XSS. SDL mengasumsikan bahwa semua data yang diterima oleh aplikasi web berasal dari sumber yang tidak dapat dipercaya, bahkan jika data tersebut berasal dari pengguna yang telah login beberapa kali.

3. Mengadopsi Crossing Boundaries Policy

Crossing boundaries policy memungkinkan pengguna yang diotentikasi untuk kembali memasukkan informasi login mereka sebelum memberikan akses kepada pengguna untuk halaman dan layanan tertentu yang ada di situs web.

Bahkan jika pengguna adalah orang yang diautentikasi dan memiliki cookie yang memungkinkan mereka untuk masuk secara otomatis. Pemilik situs web dapat mengatur ulang dan meminta pengguna untuk memasukkan kredensial masuk mereka pada halaman web tertentu.

Crossing boundaries policy dapat diperluas lebih lanjut sehingga session akan diakhiri secara otomatis jika dua alamat IP memiliki data session yang sama.

4. Menggunakan Tag Meta Yang Benar

Menggunakan tag meta yang diberikan di bawah ini mengurangi berbagai contoh XSS script injection yang mungkin terjadi.

<META http-equiv="Content-Type" content="text/html; charset= ISO-8859-1">

Kesimpulan

Jadi apa itu serangan XSS? XSS ada serangan yang berpotensi menjadi salah satu serangan paling berbahaya yang terjadi di situs web. Ini bisa menjadi konsekuensi yang mungkin tidak akan diterima oleh pemilik mana pun. Orang dapat mencegah serangan XSS di situs web mereka dengan melakukan langkah yang dibahas dalam artikel ini.


Sekian artikel Apa Itu Serangan XSS (Cross-Site Scripting). Nantikan artikel menarik lainnya dan jangan lupa share artikel ini ke teman-teman kalian. Terimakasih…

Share FacebookTwitterTumblrWhatsappTelegram
Resa Risyan

Hanya orang biasa yang ingin membagikan sedikit pengetahuannya mudah-mudahan ilmu yang saya berikan dapat bermanfaat bagi kita semua. Ingatlah! ilmu yang bermanfaat adalah investasi dunia akhirat.

0 Comments
Inline Feedbacks
View all comments

ARTIKEL TERBARU

  • Gunakan Aplikasi Snaptube Downloader Untuk Hiburanmu Sehari-Hari!

    Agustus 19, 2022
  • 4 Aplikasi Copywriting Terbaik Untuk Menulis Konten Lebih Cepat

    Agustus 18, 2022
  • Apa Itu Superkomputer Dan Fungsinya?

    Agustus 9, 2022
  • 5 Cara Efektif Melindungi Postingan Blog Dari Plagiarisme

    Agustus 5, 2022
  • Download XAMPP Versi 3.2.1

    Juli 27, 2022
  • Facebook
  • Twitter
  • Linkedin
  • Tumblr
  • Telegram
  • About
  • Contact US
  • Privacy Policy
  • Terms of Service

Copyright © 2022 www.monitorteknologi.com

  • PC & MOBILE
    • Apps
    • Games
    • Hardware
    • Internet
    • Security
    • Tips & Trick
  • Networking
    • Cisco
    • MikroTik
    • SysAdmin
  • Programming
wpDiscuz