Praktek Serangan XSS dan cara mengatasinya

Pengertian XSS

XSS, atau Cross-Site Scripting, adalah sebuah jenis serangan keamanan pada aplikasi web yang memungkinkan penyerang menyisipkan skrip atau kode berbahaya ke dalam halaman yang dilihat oleh pengguna lain. Dalam konteks ini, “cross-site” mengacu pada fakta bahwa skrip berbahaya dijalankan di dalam konteks situs web yang berbeda, bukan situs web yang mengirimkan skrip tersebut.

Praktek serangan XSS 

• Buat file xss.php dan letakkan di document root (missal c:\xampp\htdocs) 

•Buka browser dan akses file tersebut (http://localhost/xss.php) 

•Masukkan pada input nama script berikut

<script>alert('Hacked!');</script>

•Lalu akan menghasilkan tampilan seperti berikut:

Tugas

Mencegah XSS

• Tambahkan script pada file tersebut agar terhindar dari serangan XSS 

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Mencegah Serangan XSS</title>

</head>

<body>

    <h1>Mencegah Serangan XSS</h1>

    <form action="xss.php" method="post">

        Nama: <input type="text" name="nama"><br>

        Pesan: <textarea name="pesan"></textarea><br>

        <input type="submit" value="Submit">

    </form>

    <h2>Pesan:</h2>

    <div id="pesan">

        <?php

        if (isset($_POST['nama']) && isset($_POST['pesan'])) {

            $name = htmlspecialchars($_POST['nama']);

            $pesan = htmlspecialchars($_POST['pesan']);

            echo "<p><strong>$name</strong>: $pesan</p>";

        }

        ?>

    </div>

</body>

</html>

• Tampilannya akan menjadi seperti berikut:

•Jelaskan dampak dari serangan XSS 

1. Pencurian Informasi Pengguna

Salah satu dampak paling serius dari XSS adalah kemampuannya untuk mencuri informasi sensitif pengguna. Skrip berbahaya yang dieksekusi di sisi klien dapat mengakses kuki sesi, data formulir, atau informasi pengguna lainnya yang dapat digunakan untuk identifikasi atau akses tidak sah.

2. Pengendalian Sesesi

XSS memungkinkan penyerang untuk mengendalikan sesi pengguna. Dengan mencuri atau memanipulasi kuki sesi, penyerang dapat masuk ke akun pengguna yang terkena dampak tanpa otorisasi.

3. Defacement dan Pencemaran Data

Serangan XSS dapat digunakan untuk merusak tampilan halaman web dengan menyisipkan konten berbahaya atau merusak struktur dan desain halaman. Hal ini dapat merugikan reputasi situs web dan menciptakan citra yang buruk.

4. Penyebaran Malware

Penyerang dapat menggunakan serangan XSS untuk menyebarkan dan menginjeksi malware ke dalam halaman web. Pengguna yang mengakses halaman yang terinfeksi dapat menjadi korban infeksi malware yang dapat merugikan integritas dan keamanan sistem mereka.

5. Peretasan Akun Pengguna

Dengan mencuri informasi login atau kuki sesi, serangan XSS dapat menyebabkan peretasan akun pengguna. Penyerang dapat masuk ke akun korban, mengakses data pribadi, dan bahkan melakukan tindakan tidak sah atas nama pengguna tersebut.

6. Serangan Blind XSS

Dalam serangan Blind XSS, hasil serangan mungkin tidak langsung terlihat oleh penyerang, tetapi dapat digunakan untuk mengumpulkan informasi sensitif atau merusak sistem pada waktu yang berbeda. Ini dapat membuat deteksi dan respons terhadap serangan menjadi lebih sulit.

7. Kerugian Keuangan dan Reputasi

Akibat serangan XSS dapat menciptakan kerugian keuangan dan merusak reputasi organisasi. Kehilangan kepercayaan pengguna dan kerugian bisnis dapat terjadi jika situs web terkena dampak serangan ini.

8. Eksploitasi Pengguna Akhir

Pengguna akhir yang tidak curiga dapat menjadi korban serangan XSS. Mereka mungkin diarahkan ke halaman web yang terinfeksi atau mengeksekusi skrip berbahaya tanpa menyadari risiko yang terlibat.

9. Penghancuran Fungsi Aplikasi

Dalam beberapa kasus, serangan XSS dapat digunakan untuk merusak atau menghancurkan fungsi aplikasi web. Ini dapat mencakup menghapus data, merusak struktur basis data, atau membuat aplikasi tidak dapat digunakan.

10. Kompromi Keamanan Infrastruktur

Serangan XSS juga dapat digunakan sebagai pintu masuk untuk serangan lainnya, membuka celah bagi penyerang untuk mengakses dan mengompromi keamanan infrastruktur organisasi.