Dewasa ini perkembangan dalam teknologi pembuatan dan pemanfaatan website semakin canggih dengan banyaknya ide – ide baru yang dikembangkan. Namun mengikuti hal itu istilah cyber crime atau kriminalitas dalam dunia cyber (internet) juga semakin marak.
Salah satunya adalah dengan keberadaannya XSS atau Cross Site Scripting. Sebelum menjelaskan pengertiannya pasti para pembaca bertanya – tanya mengapa menggunakan “X” untuk Cross bukannya “C”. Hal ini dikarenakan penggunaan CSS sudah ada untuk Cascade Style Sheet yang juga salah satu bagian dari dunia web programming.
Demi menghindari bahaya XSS bagi para developer web atau sebagai referensi tambahan maka artikel ini kami tulis sebagai bahan baca tambahan. Langsung saja ulasan lengkap mengenai pengertian XSS beserta cara kerja dan cara mencegahnya dapat anda simak dibawah ini:
[ez-toc]
Pengertian XSS
Sesuai namanya XSS atau yang merupakan singkatan dari Cross Site Scripting merupakan salah satu bentuk gangguan berupa Code Injection Attack atau serangan injeksi kode.
Penyerang yang merupakan orang luar menyisipkan code – code berbahaya yang biasanya berbentuk Javascript, VBScript atau bahkan client script code. Maksud dari client script code adalah suatu halaman dari web yang ditujukan pada penggunaan user atau client.
Hal ini dikarenakan memang tujuan utama dari penggunaan XSS adalah untuk mengambil data penting, mengambil cookie dari user atau mengirimkan suatu program yang dapat merusak user namun seakan – akan penyebabnya adalah dari web itu sendiri.
Oleh karena itu meskipun terkesan sepele XSS ini sangatlah dikeluhkan oleh para developer web atau aplikasi yang akan mempublish hasil projectnya. Ketika keamanan mereka berhasil dibobol dan XSS sudah disusupkan maka akan sangat sulit diatasi dan lebih merepotkan lagi ketika sudah banyak diakses oleh banyak user. User sebagai pihak awam yang paling terkena dampaknya pasti menganggap pihak developer lah yang membuat code berbahaya secara sengaja, padahal itu adalah ulah orang luar dengan XSS-nya.
Cara Kerja XSS
Setelah memahami apa yang dimaksud XSS maka selanjutnya adalah mengerti cara kerja XSS. Tujuan penulis memberi ulasan ini bukanlah untuk memberi pengetahuan cara menyelipkan justru untuk mengantisipasi ketika dalam dunia kerja atau sebagai developer anda menemui hal serupa.
Dalam hal ini penulis menganggap bahwa pihak penyerang yang menggunakan XSS ini adalah seorang hacker karena memang kemampuan dalam membobol keamanan web ataupun aplikasi.
Gambaran umum mengenai cara kerja XSS sebenarnya cukup simpel, oleh karena itu banyak developer yang juga menyepelekannya. Namun ketika sudah dipublish dan kecolongan maka dampak yang ditimbulkan sangatlah besar, tidak hanya user bahkan ke server juga. Pihak hacker atau penyerang terlebih dahulu berusaha mencari celah keamanan suatu website.
Contoh simpelnya adalah dalam file index atau home mereka menyelipkan “YOUR WEBSITE GOT HACKED” dengan menggunakan heading 1. Biasanya para attacker memerluka wadah berupa halaman dinamis atau berindeks PHP dan selanjutnya dimasukkan ke dalam HTML atau Javascript.
Contoh diatas adalah bagian simpelnya, yang paling berbahaya adalah ketika attacker mengambil wadah untuk XSS pada bagian file input seperti form pendaftaran. Pada script PHP biasanya menggunakan baris code $_GET untuk mengirimkan data yang sudah diisi oleh pengguna ke database server web tersebut. Namun ketika XSS disusupkan maka data yang dikirimkan bisa saja diredirect ke server miliknya terlebih dahulu baru masuk ke server yang seharusnya. Hal ini dapat dilakukan dengan merubah script pada tombol submit atau di code $_GET, lalu mengirimkan data ke server milik attacker dan kemudian dicatat dalam databasenya.
Tujuannya bisa saja untuk meningkatkan traffic atau backlink ke web yang dimiliki dengan memanfaatkan web yang sudah dibobol. Jika data – data penting yang dimasukkan tentunya dampaknya akan lebih besar lagi.
Cara Mencegah XSS
Beberapa tahun yang lalu sempat berhembus kabar bahwa website milik salah satu bank terkemuka di Indonesia pernah disusupi XSS sehingga banyak data – data nasabah yang diambil. Dalam melakukan aksinya para hacker atau attacker memang tidak pernah pandang bulu dalam hal memilih web mana yang akan dijadikan target. Dan karena semakin besar website yang dijadikan sasaran maka kemungkinan terdeteksinya XSS akan semakin sulit.
Ada bermacam – macam bentuk XSS sesuai dengan dampak dan cara kerja yang dilakukan sehingga untuk pencegahannya cukup beragam juga. Mulai dari penggunaan “global_xss_filtering” pada framework CI yang lama namun saat ini sudah tidak ada lagi. Mungkin pihak developer Codeigniter sudah mengetahui bahwa permasalahan XSS adalah di output bukan pada inputannya.
Salah satu cara lain untuk mencegah serangan XSS juga sudah ada dalam fungsi PHP, yakni menggunakan htmlspecialchars(), namun untuk melakukan escaping juga tidaklah cukup. Bisa juga dilakukan dengan cara memblok semua input yang berupa script tag atau image source. Lakukan pengamanan juga terhadap Cpanel anda karena hal ini menjadi kunci utama masuknya XSS.
Bisa juga dengan menggunakan suatu aplikasi pengamanan web, salah satu yang penulis rekomendasikan adalah aplikasi Acunetix. Penggunaan Acunetix ini diibaratkan seperti White Hacker yang mampu melindungi keamanan web dengan cukup signifikan.
Perlu waktu yang cukup lama memang untuk melakukan scan terhadap keamanan website jika menggunakan Acunetix namun hasil yang diberikan juga cukup besar. Tidak hanya XSS saja, Acunetix dapat mendeteksi adanya SQL Injection, PHP Injection, Cross Frame Sripting (XFS), URL Redirection, pengecekan terhadap file dalam server dan masih banyak lagi.
Itulah pengertian XSS beserta cara kerja dan cara mencegah agar serangan XSS ini tidak membobol keamanan web ataupun aplikasi anda. Semoga bermanfaat dan mudah dipahami!
Editor: Muchammad Zakaria
Download berbagai jenis aplikasi terbaru, mulai dari aplikasi windows, android, driver dan sistem operasi secara gratis hanya di Nesabamedia.com: