Jordy Prayoga He enjoys creating clear and helpful content. In his free time, he loves to hike.

Hati-Hati dengan XSS! Ini Cara Menghindarinya

4 min read

XSS ADALAH

Kejahatan siber selalu menjadi mimpi buruk bagi pengguna yang tidak berhati-hati ketika terhubung ke internet.

Banyak sekali jenis kejahatan siber yang selalu mengincar, dan tidak ada yang tidak berbahaya.

Salah satunya adalah XSS (cross site scripting). Jika dilihat dari namanya, XSS ini memang kurang populer seperti DDoS atau Zero Day Attack.

Akan tetapi, dampak dari XSS ini sangat merugikan korbannya, termasuk pada tahun 2011 silam di mana platform Facebook pernah menjadi sasaran teknik XSS

Maka dari itu, GudPeople perlu menaruh perhatian ekstra pada berbagai modus serangan siber, dan salah satunya adalah XSS.

Nah, agar Anda dapat mengetahui secara lengkap mengenai XSS, mari kita bahas bersama-sama pada penjelasan ini!

Daftar Isi : show

Mengenal XSS (Cross Site Scripting)

Cross site scripting atau XSS adalah sebuah serangan yang mengincar website tepercaya dengan menyuntikkan script jahat ke dalamnya.

Celah yang ada pada aplikasi web menjadi jalan mulus pelaku untuk melancarkan aksi XSS, yaitu banyaknya input pengguna aplikasi web yang tidak divalidasi dengan baik dan benar.

Atau bisa dikatakan, peretas menggunakan aplikasi web untuk menanamkan script berbahaya ke browser milik korbannya.

Masih bingung memahami XSS? Coba perhatikan analogi berikut ini:

Katakanlah Anda memiliki sebuah website apa pun yang memungkinkan semua orang dapat berkomentar dan dapat dilihat oleh pengguna lain.

Nah, alih-alih memasukkan komentar seperti pengguna pada umumnya, peretas memanfaatkannya dengan memasukkan kode script berbahaya (biasanya dalam bentuk JavaScript) ke kolom komentar.

Ketika ada pengguna yang mengakses website Anda hingga membaca komentar yang ada, script berbahaya ini akan dieksekusi oleh aplikasi browser milik pengguna tersebut tanpa diketahui olehnya. 

Browser tersebut mempercayai script berbahaya tersebut karena mengira bagian dari website yang tepercaya.

Akibatnya, pengguna pun menjadi korban serangan XSS tanpa diketahui. Dalam prosesnya, cara kerja XSS adalah sebagai berikut.

Cara Kerja XSS

Ini adalah langkah demi langkah yang akan dilakukan ketika peretas melancarkan cross site scripting. 

1. Peretas Menanamkan Script Berbahaya

Pelaku akan mencari celah keamanan pada aplikasi web tepercaya yang ‘mengizinkan’ mereka untuk menyuntikkan script berbahaya. 

Celah semacam ini sering berkaitan dengan user input seperti pengisian form, komentar, fitur pencarian, dan sejenisnya.

Jika salah satu input pengguna tersebut tidak tervalidasi dengan baik dan benar, tentu inilah yang dijadikan celah dan peretas bisa memanfaatkannya untuk menyuntikkan script berbahaya ke dalam website.

2. Peretas Mengirim Kode ke Pengguna

Ketika peretas sudah berhasil menanamkan script berbahaya, aplikasi website secara tidak sadar akan menampilkannya kepada pengunjung lainnya. 

Proses ini sangat berbahaya karena pengunjung tidak sadar bahwa ia baru saja menerima kode script berbahaya.

3. Browser Mengeksekusi Script

Ketika browser pengguna digunakan untuk mengakses situs yang telah disusupi sebelumnya, dan ketika halaman yang telah terinfeksi script jahat dimuat, browser melihatnya sebagai bagian dari konten pada website tersebut.

Karena tidak dapat membedakan mana script yang asli dan berbahaya, browser tetap menjalankannya dan memicu terjadinya XSS.

4. Peretas Mendapatkan Akses ke Data Pengguna

Karena script berbahaya datang dari sumber yang ‘terlihat’ tepercaya, browser pun akan mengeksekusinya.

Hasilnya, script tersebut mendapatkan akses ke informasi sensitif yang tersimpan pada browser, seperti cookie, sesi online yang terhubung pada website yang telah ditargetkan.

Apa Dampak XSS?

Bisa dibilang, XSS adalah salah satu modus kejahatan siber yang sangat berbahaya karena cara kerjanya benar-benar ‘bersih’.

Mengingat tidak ada tanda-tanda aneh yang kasat mata, pengguna yang menjadi korban bahkan tidak akan menyadari bahwa ia baru saja terkena serangan XSS, dan data-data sensitif pun jadi incarannya.

Dalam aksinya pula, peretas melakukan serangan XSS dalam beberapa jenis yang berbeda. Apa saja?

Jenis-Jenis Serangan XSS

Ada dua jenis serangan XSS, yaitu Reflected XSS dan Stored XSS. Berikut penjelasan lengkapnya.

1. Reflected XSS

Reflected XSS adalah jenis serangan yang paling sederhana, yakni ketika aplikasi web menerima data melalui permintaan HTTP dan menyertakan data tersebut melalui respon yang tidak aman.

Jenis ini adalah adalah bentuk serangan XSS yang terjadi ketika aplikasi web merespon permintaan pengguna tanpa memastikan keamanannya.

Biasanya, XSS jenis ini akan ditampilkan dalam bentuk pesan error atau hasil pencarian oleh aplikasi web. Cara kerjanya sebagai berikut

  • Peretas membuat tautan khusus yang mengandung script berbahaya. Kemudian, peretas memancing pengguna agar mengeklik tautan tersebut dengan beberapa metode, termasuk phising, social engineering, dsb.
  • Setelah pengguna mengeklik tautan tersebut, browser yang digunakan akan mengirim permintaan ke aplikasi web yang ditargetkan. Aplikasi web memproses input pengguna dan memasukkannya ke dalam respon yang dikirimkan kembali kepada pengguna.
  • Karena aplikasi web tidak memvalidasi keamanan input pengguna dengan baik, browser mengeksekusi script berbahaya secara diam-diam dan berjalan seperti aktivitas website pada umumnya.
  • Script yang telah dieksekusi kemudian dapat melakukan beberapa tindakan berbahaya, misalnya mencuri identitas pribadi pengguna, seperti informasi login atau mengarahkan mereka ke website palsu untuk mencuri data-data lainnya.

2. Stored XSS

Stored XSS adalah modus serangan XSS yang dilancarkan dengan memanfaatkan celah aplikasi web di mana input yang dimasukkan pengguna tidak dibersihkan dan tersimpan di server.

Data tersebut juga bisa tersimpan pada beberapa tempat, seperti database, forum, log pengunjung, kolom komentar, dan sejenisnya. Berikut cara kerjanya.

  • Peretas menyerang kelemahan aplikasi web untuk menyuntikkan script berbahaya ke tempat di mana input pengguna disimpan pada server. Contoh, peretas menaruh script berbahaya di bagian kolom komentar.
  • Lalu, korban mengakses konten dan memuat konten/kolom komentar yang mengandung script berbahaya dan memicu browser untuk memprosesnya.
  • Seperti biasa, browser akan memproses script berbahaya ini tanpa adanya rasa ‘curiga’ dan berjalan seolah-olah script tersebut aman.
  • Setelah berhasil memproses script tersebut, peretas pun dapat mengambil identitas informasi sensitif pengguna karena telah mendapatkan aksesnya.

Cara Menghindari Serangan XSS

XSS adalah ancaman yang sangat menakutkan bagi para pengguna karena dapat mencuri informasi pribadi secara diam-diam.

Bagi pihak developer atau pengembang, tentu XSS mesti dihindari agar hal-hal yang memicu tindakan jahat peretas tidak lagi terjadi.

Berikut adalah beberapa langkah yang bisa Anda lakukan untuk mencegah terjadinya XSS.

1. Memastikan Keamanan Website

Sebagai pemilik website, Anda harus memperhatikan bahwa keamanan website selalu dalam kondisi yang baik. Lakukan pemeriksaan secara rutin menggunakan beberapa tool pemindai kerentanan website, salah satunya adalah Sucuri.

2. Adopsi Crossing Boundaries Policy

Crossing boundaries policy akan membuat pengguna harus melakukan autentikasi ulang di website Anda ketika ingin mengakses halaman atau layanan tertentu.

Meski cookie pengguna yang terautentikasi mengizinkannya login secara otomatis, Anda tetap bisa mengaturnya agar proses autentikasi tidak terlewatkan.

Strategi ini dianggap cukup efektif untuk menghalau serangan XSS karena dapat menghindari pembajakan sesi online oleh peretas

3. Tambahkan SDL

Security Development Lifecycle atau SDL akan meminimalisir kesalahan coding dan keamanan dalam setiap project yang Anda kerjakan.

Dengan begitu, celah keamanan pun bisa diminimalisir karena cara kerja SDL kurang lebih akan menjadi lebih ‘skeptis’ dalam konteks yang postif.

Maksudnya, semua data yang diterima aplikasi web Anda dianggap berasal dari sumber yang tidak tepercaya, walaupun jika data tersebut dikirimkan oleh pengguna yang telah masuk ke akunnya beberapa kali.

Waspada XSS Mulai dari Sekarang!

XSS adalah salah satu bentuk teknik yang dilakukan oleh peretas untuk mencuri data pengguna secara diam-diam dengan menyuntikkan script berbahaya ke suatu website.

Bahkan, pengguna banyak yang tidak menyadari bahwa dirinya telah menjadi korban XSS, lho! Sangat berbahaya, bukan? Maka dari itu, GudPeople perlu berhati-hati ketika mengakses suatu website.

Untungnya, Anda telah mengetahui cara menghindari XSS melalui artikel ini. Semoga Anda bisa terhindar dari serangan XSS, ya, GudPeople!

Jordy Prayoga He enjoys creating clear and helpful content. In his free time, he loves to hike.
«
»

Positive SSL: Arti, Keunggulan, dan Cara Order!

Ingin website kamu terlihat lebih aman dan profesional di mata pengunjung?  Salah satu cara termudah dan paling terjangkau adalah dengan memasang sertifikat SSL, dan...
Faqihah Husnul
May 4, 2025 2 min read

POODLE Attack: Arti, Cara Kerja, dan Tips Mengatasinya!

Setelah dunia siber sempat dihebohkan oleh Heartbleed, tidak lama kemudian pada tahun 2014 muncul lagi sebuah kerentanan keamanan bernama POODLE.  Nama ini adalah akronim...
Faqihah Husnul
May 3, 2025 3 min read

BEAST Attack: Arti, Cara Kerja, dan Tips Mengatasinya!

Khawatir tentang keamanan koneksi HTTPS websitemu?  Tahukah GudPeople tentang BEAST Attack, sebuah teknik lama yang bisa digunakan untuk mencuri data sensitif? Sekilas Mengenai BEAST...
Faqihah Husnul
May 2, 2025 4 min read