Teknologi

Pengertian XSS (Cross-Site Scripting): Jenis, Tujuan, Cara Kerja dan Mencegahnya

Pengertian XSS (Cross-Site Scripting)

Sebenarnya apa itu pengertian XSS (Cross-Site Scripting)? Cross-site scripting (juga dikenal sebagai XSS) adalah kerentanan keamanan web yang memungkinkan penyerang membahayakan interaksi yang dimiliki pengguna dengan Aplikasi yang rentan. Ini memungkinkan penyerang untuk menghindari kebijakan asal yang sama, yang dirancang untuk memisahkan Website yang berbeda satu sama lain.

Kerentanan skrip Traffic biasanya memungkinkan penyerang menyamar sebagai pengguna korban, untuk melakukan tindakan apa pun yang dapat dilakukan pengguna, dan untuk mengakses data pengguna mana pun. Jika pengguna korban memiliki akses istimewa dalam aplikasi, maka penyerang mungkin bisa mendapatkan kontrol penuh atas semua fungsionalitas dan data aplikasi.

Jenis-Jenis XSS (Cross-Site Scripting)

Berdasarkan pengertian XSS (Cross-Site Scripting) di atas, ada tiga jenis utama serangan XSS adalah sebagai berikut:

1. Reflected XSS (Cross-Site Scripting)

Adalah tempat skrip berbahaya berasal dari permintaan HTTP saat ini.

2. Stored XSS (Cross-Site Scripting)

Yaitu di mana skrip berbahaya berasal dari Database Website.

3. XSS (Cross-Site Scripting) berbasis DOM

Adalah di mana kerentanan ada dalam kode sisi klien daripada kode sisi server.

Tujuan XSS (Cross-Site Scripting)

Setelah mengetahui apa itu XSS (Cross-Site Scripting), kita juga harus mengetahui tujuan Srcipt XSS (Cross-Site Scripting) ini. Adapun tujuan digunakannya Script XSS (Cross-Site Scripting) adalah sebagai berikut:

  • Untuk menyamar sebagai atau menyamar sebagai pengguna korban.
  • Melakukan tindakan apa pun yang dapat dilakukan pengguna.
  • Untuk membaca Data apa pun yang dapat diakses pengguna.
  • Menangkap kredensial login pengguna.
  • Melakukan perusakan virtual situs web.
  • Menyuntikkan fungsionalitas trojan ke situs web.

Cara Kerja XSS (Cross-Site Scripting)

Ilustrasi Gambar Pengertian XSS Cross Site Scripting Jenis Tujuan Dan Cara Kerjanya

Skrip lintas situs berfungsi dengan memanipulasi situs web yang rentan sehingga mengembalikan JavaScript berbahaya kepada pengguna. Ketika kode berbahaya dijalankan di dalam peramban korban, penyerang dapat sepenuhnya mengganggu interaksi mereka dengan aplikasi.

Adapun tahap serangan XSS (Cross-Site Scripting) yang khas adalah sebagai berikut:

1. Menjalankan Kode JavaScript

Untuk menjalankan kode JavaScript berbahaya di browser korban, penyerang harus terlebih dahulu menemukan cara untuk menyuntikkan kode berbahaya (payload) ke halaman web yang dikunjungi korban.

2. Memulai Akses

Setelah itu, korban harus mengunjungi dan mengakses halaman web dengan kode berbahaya. Jika serangan diarahkan pada korban tertentu, penyerang dapat menggunakan rekayasa sosial dan / atau phishing untuk mengirim URL jahat ke korban.

Agar langkah pertama dimungkinkan, situs web yang rentan perlu memasukkan input pengguna secara langsung ke halaman-halamannya. Seorang penyerang kemudian dapat memasukkan string jahat yang akan digunakan dalam halaman web dan diperlakukan sebagai kode sumber oleh browser korban. Ada juga varian serangan XSS di mana penyerang memikat pengguna untuk mengunjungi URL menggunakan rekayasa sosial dan payload adalah bagian dari tautan yang diklik pengguna.

Cara Mencegah Serangan XSS (Cross-Site Scripting)

Seperti yang sudah kita ketahui mengenai pengertian XSS (Cross-Site Scripting), untuk menjaga keamanan dari XSS (Cross-Site Scripting), Anda harus membersihkan input Anda. Kode aplikasi Anda seharusnya tidak pernah menampilkan data yang diterima sebagai input langsung ke browser tanpa memeriksa kode berbahaya.

Mencegah skrip lintas-situs sepele dalam beberapa kasus tetapi bisa jauh lebih sulit tergantung pada kompleksitas aplikasi dan cara menangani data yang dapat dikontrol pengguna. Secara umum, mencegah kerentanan XSS secara efektif cenderung melibatkan kombinasi langkah-langkah berikut:

  • Saring Input pada saat Masuk; Pada titik di mana input pengguna diterima, filter seketat mungkin berdasarkan apa yang diharapkan atau input yang valid.
  • Encode Data pada Output; Pada titik di mana data yang dapat dikontrol pengguna adalah output dalam respons HTTP, enkode output untuk mencegahnya ditafsirkan sebagai konten aktif. Tergantung pada konteks output, ini mungkin memerlukan kombinasi penerapan HTML, URL, JavaScript, dan encoding CSS.
  • Gunakan Judul Respons yang Sesuai; Untuk mencegah XSS dalam respons HTTP yang tidak dimaksudkan untuk berisi HTML atau JavaScript apa pun, Anda bisa menggunakan header Tipe-Konten dan X-Konten-Tipe-Opsi untuk memastikan bahwa browser menginterpretasikan respons dengan cara yang Anda inginkan.
  • Kebijakan Keamanan Konten; Sebagai garis pertahanan terakhir, Anda dapat menggunakan Kebijakan Keamanan Konten (CSP) untuk mengurangi keparahan kerentanan XSS (Cross-Site Scripting) yang masih terjadi.

Kesimpulan

Jadi, dapat disimpulkan bahwa pengertian Cross-site Scripting (XSS) adalah serangan injeksi kode sisi klien yang biasa digunakan oleh Hacker dalam melakukan kejahatan atau Cyber Crime di dunia Internet.

Penutup

Demikianlah tulisan yang dapat Kami bagikan kali ini mengenai pengertian XSS (Cross-Site Scripting), Jenis-Jenis XSS (Cross-Site Scripting), Tujuan XSS (Cross-Site Scripting) dan Cara Kerja beserta Cara Mencegah XSS (Cross-Site Scripting). Semoga dapat bermanfaat. Sekian dari Saya, Terima Kasih.

Postingan ini juga tersedia dalam versi:


Lihat Juga

rifqimulyawan.com menggunakan cookies untuk meningkatkan kebergunaan pengguna.