(0275) 2974 127
Cross Site Scripting (XSS) merupakan kode HTML atau Client Script yang berdampak pada penyerangan website. Salah satu jenis serangan yang paling berbahaya dan banyak ditemukan yaitu pada google, facebook, Amazon, Paypal dan lain sebagainya. Serangan Cross Site Scripting digunakan untuk mencuri cookie, penyebaran malware session hijacking / pembajakan session, dan pembelokkan tujuan / malicious redirects. Penyerangannya dilakukan dengan ‘menyisipkan’ kode script (biasanya JavaScript) ke dalam sebuah situs. Jika situs ini memiliki fitur untuk menampilkan kembali isian form ke web browser, maka kemungkinan akan berhasil.
Contoh
Jika anda memiliki chat box atau comment box, kami sarankan untuk lebih berhati-hati dengan karakter yang diterima oleh input box. Jika anda mencoba memasukkan komen atau pesan pada chat box dengan contoh sebagai berikut
Terdapat juga script yang disisipkan pada tag html, seperti contoh tag emg
Penyerangan dapat juga dengan menambahkan client script untuk redirect website ke web pemilik. Tujuannya yaitu untuk menambah traffic atau backlink ke web penyerang.
Terdapat dua kategori pada XSS, yaitu Presistent dan Non-Presistent. Serangan Presistent berdampak permanen karenan script diinjek ke database atau secondary storage, sedangkan serangan Non-Presistent bersifat sementara dan membutuhkan aktivitas sosial kepada calon korban.
Salah satu cara untuk menghindari Cross Site Scripting yaitu dengan menggunakan fungsi PHP yaitu strip_tags(.) yang berfungsi untuk menghilangkan semua tag HTML atau dengan menggunakan fungsi htmlentities(.) yang berfungsi mengganti karakter < dan > menjadi < dan >.
Dilakukan dengan mematikan semua bahasa script yang terdapat pada komputer. Hal ini menyebabkan beberapa fungsionalitas pada site yang sedang dikunjungi menjadi tidak berjalan. Cara lain yang dapat anda lakukan yaitu dengan lebih berhati-hati dalam mengunjungi sebuah situs, terutama source URL nya.
Pengembang aplikasi perlu menyelaraskan antisipasi pengamanan sesuai kebutuhan bisnis. Cara yang bisa anda lakukan yaitu dengan memastikan bahwa halaman yang membangkitkan konten secara dinamis tidak mendukung tag yang tidak diinginkan.
Sumber yang umum dijadikan titik masuk yaitu Query string, URL’s dan bagian universal locator, data yang dikirimkan, cookies, data persisten oleh user.
Dengan mewaspadai karakter-karakter khusus, seperti:
Teknik ini dilakukan untuk menjamin hanya input yang tepat yang akan dipilih.
Dengan melakukan encoding, data anda tidak akan hilang, meskipun pengkodean karakter yang dinilai membahayakan.
Pengkodean dapat dilakukan saat data disampaikan kembali ke user.
Diatas merupakan artikel mengenai Cross Site Scripting (XSS) dan cara mencegahnya. Semoga artikel ini dapat menambahkan wawasan dan pengetahuan baru untuk Anda.
Terima Kasih
Menemukan topik blog yang menarik dan terkini mungkin tidak mudah, terutama bagi pemula yang belum…
Cara Memonetisasi Blog – Menulis blog pribadi bukan lagi sekedar hobi, kegiatan ini menawarkan peluang…
Membuat blog adalah salah satu cara terbaik untuk berbagi cerita dan kisah Anda sambil terhubung…
Pada artikel ini, kami merekomendasikan beberapa contoh desain web terbaik untuk menginspirasi Anda. Dari contoh…
LMS adalah singkatan dari Learning Management System dan merupakan suatu bentuk aplikasi perangkat lunak yang…
Situs web yang dirancang dengan baik dapat membantu menarik pengunjung, meningkatkan kredibilitas perusahaan Anda, dan…