Perlindungan terhadap kerentanan teratas seperti Cross-Site Scripting (XSS) sangat penting karena situs menyimpan informasi penting. Serangan XSS dapat memiliki beragam kerusakan mulai dari peretas yang menyebarkan worm di situs web hingga peretas yang mencuri data sensitif seperti pencurian identitas atau bahkan melakukan kejahatan terkait keuangan. Lalu apa itu serangan XSS?
Baca Juga: 10 Jenis Serangan Cyber Yang Umum Digunakan
DAFTAR ISI
Apa Itu Serangan XSS?
Cross-Site Scripting atau serangan XSS adalah eksploitasi keamanan di mana penyerang menempatkan malicious client-end code ke laman web.
Ini telah menjadi serangan paling lazim yang telah ada selama lebih dari tiga dekade sekarang. Semua situs web utama telah dipengaruhi oleh eksploitasi kerentanan ini.
Penyerang yang menggunakan kerentanan XSS mencuri data pengguna, atau mengontrol session pengguna, menjalankan malicious code atau bahkan menggunakannya sebagai komponen penipuan phishing utama.
Jenis Serangan XSS
Serangan XSS dapat secara luas diklasifikasikan ke dalam 3 kategori berikut:
1. Reflected XSS
Reflected XSS juga dikenal sebagai serangan XSS yang tidak persisten atau menetap. Dalam kasus serangan reflected XSS, skrip berbahaya dipantulkan ke situs web lain di browser pengguna. Ini terjadi ketika input pengguna dari URL atau data POST tercermin pada halaman tanpa disimpan, sehingga memungkinkan penyerang untuk menyuntikkan konten berbahaya.
Ini berarti bahwa seorang penyerang harus mengirim URL jahat atau formulir posting kepada korban untuk memasukkan payload, dan korban harus mengklik tautan. Payload semacam ini juga umumnya ditangkap oleh filter XSS bawaan di browser pengguna, seperti Chrome, Internet Explorer atau Edge.
2. Stored XSS
Stored XSS, juga dikenal sebagai XSS persisten, termasuk memasukkan kode berbahaya langsung ke aplikasi web. Ini terjadi ketika payload disimpan, misalnya dalam database dan kemudian dieksekusi ketika pengguna membuka halaman pada aplikasi web.
3. DOM XSS
DOM XSS adalah bentuk serangan XSS di mana skrip berbahaya hadir dalam Document Object Model alih-alih HTML. Dalam serangan Cross-Site Scripting yang reflected dan stored, Kalian dapat melihat payload kerentanan di halaman respons tetapi dalam XSS berbasis DOM, kode sumber HTML dan respons serangan akan persis sama, yaitu payload tidak dapat ditemukan di responnya. Itu hanya dapat diamati pada saat runtime atau dengan menyelidiki DOM halaman.
Bagaimana Serangan XSS Bekerja
Serangan XSS berbeda dari sebagian besar serangan lapisan aplikasi. Di sini, penyerang menyerang aplikasi pengguna dan bukan aplikasi atau servernya. Serangan XSS bekerja dengan menempatkan kode berbahaya, biasanya menggunakan client-side script ke output aplikasi web.
Secara tradisional, sebagian besar situs web memiliki beberapa titik injection seperti search fields, online feedback forms, cookies yang muncul sebagai target lunak untuk setiap cross-site scripting.
Salah satu motif paling umum di balik serangan XSS adalah untuk mendapatkan wawasan dari data cookie. Karena cookie biasanya digunakan dalam metode yang salah untuk menyimpan informasi seperti Session ID, preferensi pengguna atau bahkan detail login seorang pengguna.
Client-side scripts tidak memiliki dampak langsung pada informasi sisi server. Namun, masih ada celah pada keamanan situs menggunakan manipulasi DOM (Document Object Model) untuk mengubah nilai formulir atau mengalihkan tindakan formulir untuk mengirim data yang dikirimkan di situs web penyerang.
Dampak Serangan XSS
Kerusakan karena serangan kerentanan XSS dapat didiversifikasi ketika terjadi pada aplikasi web. Mulai dari session pengguna yang dibajak dan, ketika digunakan dengan serangan Social engineering, dapat menyebabkan hilangnya data sensitif pengguna. Dengan eksploitasi serangan XSS, penyerang dapat meniru korban dan mengambil alih akunnya.
Mencegah Serangan XSS
Ada beberapa langkah dan strategi yang dapat digunakan oleh pemilik situs web untuk mencegah serangan XSS. Beberapa di antaranya adalah:
1. Analisis Keamanan Situs
Untuk mencegah serangan XSS, pemilik situs web bahkan dapat menggunakan website vulnerability scanner seperti Sucuri atau VirusTotal untuk menganalisi keamanan situs. Ini membantu pemilik situs web mengetahui informasi audit lengkap tentang kelemahan dan kerentanan keamanan yang ada di situs mereka. Ini juga memastikan bahwa situs web mereka aman dan tepercaya.
2. Menambahkan SDL
SDL adalah singkatan dari Security Development Lifecycle. Menambahkan SDL di aplikasi web dapat membatasi jumlah kesalahan coding dan pelanggaran keamanan.
Ini membantu pengembang membangun perangkat lunak yang sangat aman, termasuk menjaga dari serangan XSS. SDL mengasumsikan bahwa semua data yang diterima oleh aplikasi web berasal dari sumber yang tidak dapat dipercaya, bahkan jika data tersebut berasal dari pengguna yang telah login beberapa kali.
3. Mengadopsi Crossing Boundaries Policy
Crossing boundaries policy memungkinkan pengguna yang diotentikasi untuk kembali memasukkan informasi login mereka sebelum memberikan akses kepada pengguna untuk halaman dan layanan tertentu yang ada di situs web.
Bahkan jika pengguna adalah orang yang diautentikasi dan memiliki cookie yang memungkinkan mereka untuk masuk secara otomatis. Pemilik situs web dapat mengatur ulang dan meminta pengguna untuk memasukkan kredensial masuk mereka pada halaman web tertentu.
Crossing boundaries policy dapat diperluas lebih lanjut sehingga session akan diakhiri secara otomatis jika dua alamat IP memiliki data session yang sama.
4. Menggunakan Tag Meta Yang Benar
Menggunakan tag meta yang diberikan di bawah ini mengurangi berbagai contoh XSS script injection yang mungkin terjadi.
<META http-equiv="Content-Type" content="text/html; charset= ISO-8859-1">
Kesimpulan
Jadi apa itu serangan XSS? XSS ada serangan yang berpotensi menjadi salah satu serangan paling berbahaya yang terjadi di situs web. Ini bisa menjadi konsekuensi yang mungkin tidak akan diterima oleh pemilik mana pun. Orang dapat mencegah serangan XSS di situs web mereka dengan melakukan langkah yang dibahas dalam artikel ini.
Sekian artikel Apa Itu Serangan XSS (Cross-Site Scripting). Nantikan artikel menarik lainnya dan jangan lupa share artikel ini ke teman-teman kalian. Terimakasih…
