Apa Itu XSS(Cross Site Scripting)?

Pengertian XSS,Jenis & Pencegahannya

Cross site scripting atau serangan XSS merupakan salah satu jenis serangan cyber berbahaya dan pernah menyerang beberapa platform populer seperti Facebook, Google, dan Paypal. Serangan ini mengeksploitasi kerentanan XSS untuk mencuri data, mengendalikan sesi pengguna, menjalankan kode jahat, atau digunakan sebagai bagian dari serangan phishing.

Apa Itu XSS?

XSS atau Cross Site Scripting adalah serangan injeksi kode pada sisi klien dengan menggunakan sarana halaman website atau web aplikasi.  Peretas akan mengeksekusi skrip berbahaya di browser korban dengan cara memasukkan kode berbahaya ke halaman web atau web aplikasi yang sah.

Penyerang dapat memasukkan payload/script ke forum, kolom komentar, dan message boards. XSS sering digunakan untuk mencuri session cookies yang memungkinkan penyerang menyamar menjadi korban. Dengan begitu penyerang dapat mengetahui data-data milik korban.

Jenis-jenis Serangan XSS

• Reflected XSS(Non-Persistent)
• Stored XSS(Persistent)

1. Reflected XSS (Non-Persistent)

Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.

2.Stored XSS

Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.

Pencegahan Serangan XSS

Berikut ini cara mencegah serangan XSS:

• Melakukan Escaping pada htmlspecialchars().
• Melakukan validasi form input.
• Memberi filter kepada setiapa karakter yang akan di input.