Apa itu Cross-Site Scripting

By Christine Margret Tidak ada komentar 5 menit

Cross-Site Scripting, juga disebut XXS, adalah serangan berbahaya yang sengaja menyuntikkan skrip berbahaya ke browser web pengguna. Penyerang mengeksekusi kode berbahaya di aplikasi web atau halaman web, dan segera setelah pengguna mengunjungi aplikasi web atau halaman web tersebut; skrip berbahaya secara otomatis dikirimkan ke browser pengguna.

Skrip Lintas Situs

Dengan cara ini, penyerang mengendalikan browser pengguna atau akunnya di situs web tertentu. Artinya, serangan ini tidak merugikan aplikasi web itu sendiri, tetapi berdampak pada pengguna aplikasi tersebut.

Selain itu, skrip berbahaya biasanya dikirimkan sebagai kode JavaScript. Namun, kode berbahaya juga dapat mengeksploitasi browser pengguna dalam bahasa lain termasuk, HTML, Ajax, Flash, dan Java.

Dapatkan FastestVPN

Ringkasan Penjelasan

Berikut ringkasan singkat Penjelasan Cross-Site Scripting:

  • XXS adalah serangan berbasis web pada halaman web atau aplikasi web yang rentan
  • Itu merugikan pengguna aplikasi web, bukan aplikasi itu sendiri
  • XXS mengirimkan program jahat ke pengguna melalui JavaScript.

Bagaimana Cara Kerja Cross-Site Scripting (XXS) Attack?

Serangan skrip lintas situs terjadi dengan cara pertama memanipulasi aplikasi web yang rentan dengan skrip berbahaya, dan kemudian aplikasi web mengirimkan JavaScript berbahaya itu ke browser pengguna.

Segera setelah skrip berbahaya memasuki browser pengguna, penyerang dapat dengan mudah mengambil kendali browser pengguna.

Tujuan Cross-Site Scripting

Penyerang melakukan serangan XXS karena alasan berikut:

  • Untuk meretas akun
  • Untuk mengirimkan perangkat lunak berbahaya dan virus pada sistem menggunakan internet
  • Untuk mengakses konten papan klip dan riwayat browser pengguna
  • Untuk menjalankan browser pengguna dari jarak jauh
  • Untuk mengeksploitasi dan mengakses aplikasi intranet

Contoh Cross-Site Scripting

Beberapa sumber yang paling rentan untuk menyuntikkan XXS adalah forum papan buletin yang dihosting sendiri dan situs web yang memungkinkan pengguna memposting.

Sekarang, kami membagikan contoh sederhana Cross-Site Script di bawah ini:

Ini adalah kode JSP, di mana Anda dapat melihat bahwa permintaan HTTP dibuat, dan kode tersebut membaca ID karyawan, eid, menampilkannya kepada pengguna.

Kode dalam contoh ini akan berfungsi dengan baik hanya jika kode (eid) menyertakan teks alfanumerik standar.

Namun, jika kode yang sama (eid) menggunakan Metacharacters atau nilai kode sumber apa pun, itu berarti kode tersebut akan dipaksa oleh browser web untuk ditampilkan kepada pengguna sebagai respons HTTP.

Awalnya, ini tampaknya bukan kerentanan utama karena tidak akan ada orang yang memasukkan URL jahat. Namun, gangguan dimulai, saat penyerang membuat tautan jahat, dan mengelabui pengguna untuk mengunjungi tautan yang tersembunyi di URL.

Biasanya, penyerang mengelabui pengguna melalui rekayasa sosial dan email serta menarik pengguna untuk mengunjungi tautan jahat.

Segera setelah pengguna mengeklik tautan jahat, dia secara tidak sengaja mengirimkan kembali konten jahat aplikasi web ke sistemnya sendiri.

Proses memantulkan kembali konten jahat disebut XXS tercermin. Serangan XXS menyebabkan gangguan serius yang sering menyebabkan perusakan dan pencurian data yang parah.

Jenis Skrip Lintas Situs

  1. XSS Tersimpan/Persisten

Serangan XSS Tersimpan/Persisten adalah bentuk serangan XSS yang paling mengganggu di mana penyerang mentransmisikan skrip permanen pada aplikasi web. Pengguna menjadi korban skrip berbahaya saat ada permintaan yang dibuat di server.

  1. XXS yang dipantulkan

Jenis Cross-Site Scripting ini tidak melibatkan penyerangan server secara langsung. Itu menggunakan email untuk mengelabui pengguna untuk mengeksekusi skrip berbahaya di browser. Peramban percaya bahwa itu adalah skrip tepercaya dan oleh karena itu semua konten berbahaya tercermin kembali di peramban pengguna.

  1. Serangan Berbasis DOM

Serangan berbasis DOM kurang umum dan berbeda karena tidak pernah mengganggu kode sisi server, hanya bergantung pada skrip sisi klien.

DOM mengacu pada model objek dokumen yang merupakan antarmuka pemrograman aplikasi (API) untuk dokumen HTML dan XML. Serangan berbasis DOM hanya terjadi ketika aplikasi web menampilkan data pengguna ke dalam model objek dokumen.

Aplikasi web membaca data pengguna dan mengirimkannya ke browser. Jika data pengguna tidak aman, penyerang dapat dengan mudah menyimpan skrip berbahaya di DOM.

Cara Menentukan Kerentanan Situs Web Anda

Anda dapat dengan mudah memeriksa kerentanan situs web Anda melalui pemindai kerentanan web seperti Nessus, Nikto, Vega, Grab, WebScarab, dan banyak lagi yang tersedia.

Penting untuk secara hati-hati melakukan tinjauan keamanan kode dan mencari tahu semua kemungkinan lubang keamanan yang memungkinkan input dari permintaan HTTP untuk membuat aksesnya ke output HTML.

Ingatlah bahwa berbagai tag HTML dapat digunakan untuk mengeksekusi JavaScript berbahaya. Oleh karena itu, penting untuk memindai situs web melalui pemindai keamanan web.

Jika ada bagian dari situs web yang rentan, maka ada kemungkinan seluruh situs web menjadi korban kerusakan.

Cara Mencegah serangan Cross-Site Scripting

  1. Melewati Input Pengguna

Melarikan diri dari input pengguna adalah metode untuk mencegah serangan XXS. Dalam metode ini, Anda harus memastikan bahwa data yang akan dikirim kembali oleh aplikasi web Anda ke browser web pengguna aman.

WordPress dan PHP terdiri dari fungsi yang secara otomatis membersihkan data yang Anda keluarkan.

  1. Validasi Masukan

Validasi input adalah proses di mana setiap data yang disediakan oleh aplikasi web diperiksa dan diverifikasi secara menyeluruh sebelum dikirim kembali ke browser pengguna.

Aplikasi web harus memeriksa dan memvalidasi data sebelum masuk ke sistem lain. Ini membantu mendeteksi tautan atau program jahat apa pun yang dimaksudkan untuk menyerang sistem pengguna.

Kesimpulan

Serangan XXS umum terjadi dan dapat mengganggu privasi pengguna, namun mudah untuk menguji dan mencegah aplikasi web Anda dari skrip berbahaya.

Aplikasi web harus selalu membersihkan inputnya sebelum mengirimkannya langsung ke browser pengguna. Selain itu, pemindaian web secara teratur akan membantu aplikasi web menemukan jika ada kerentanan.

Kendalikan Privasi Anda Hari Ini! Buka blokir situs web, akses platform streaming, dan lewati pemantauan ISP.

Dapatkan FastestVPN
Berlangganan Newsletter
Terima posting tren minggu ini dan pengumuman terbaru dari FastestVPN melalui buletin email kami.
icon
0 0 orang
Peringkat Artikel

Kamu boleh Juga Suka

Cara Meminta Data Anda dari Facebook dan Google Cara Meminta Data Anda dari Facebook dan Google
Tips Tetap Lindungi Saat Bekerja dari Rumah Tips Tetap Lindungi Saat Bekerja dari Rumah
Cara Menghentikan Email Spam Cara Menghentikan Email Spam
Berlangganan
Beritahu
tamu
0 komentar
Masukan Inline
Lihat semua komentar