HTML sangatlah ampuh ketika ia memberikan tampilan dan dukungan untuk menjalankan script seperti JavaScript padahal HTML bukan sebuah bahasa pemrograman. JavaScript adalah sebuah bahasa pemrograman yang sangat powerful tetapi juga bisa sangat berbahaya.
Adapun salah satu serangan yang berbahaya yaitu serangan XSS. Dengan yang kita tau bahwa XSS itu adalah Cross-Site Scripting yang merupakan jenis serangan. Serangan ini berupa script yang di masukan ke suatu situs Web. Cross-site scripting (XSS) adalah salah satu kerentanan keamanan web yang paling umum dan berbahaya.Â
Serangan ini mengeksploitasi kurangnya validasi atau pemfilteran input pengguna pada situs web, memungkinkan penyerang menyisipkan kode berbahaya ke dalam halaman web. Permasalahan dari penelitian ini yaitu bagaimana mengamankan sebuah Web dari serangan XSS. Tujuan dari penelitian juga adalah untuk menjaga suatu Web agar aman dan terhindar dari serangan serta memasukan script kedalam celah yang dituju.
- Pengklasifikasikan XSS menjadi tiga jenis utama:
- Reflected XSS: Serangan ini terjadi ketika input pengguna yang tidak divalidasi langsung tercermin kembali ke browser pengguna. Contoh umum termasuk tautan berbahaya dalam komentar atau formulir pencarian.
- Stored XSS: Kode berbahaya disimpan dalam database situs web dan dieksekusi setiap kali halaman yang terkontaminasi ditampilkan. Contoh meliputi forum, blog, dan CMS.
- DOM-based XSS: Serangan ini memanfaatkan kerentanan dalam Document Object Model (DOM) browser untuk mengeksekusi kode JavaScript berbahaya tanpa memerlukan input dari pengguna.
Dampak Serangan XSS :
Konsekuensi dari serangan XSS dapat bervariasi tergantung pada tujuan penyerang. Beberapa skenario potensial meliputi:
- Pencurian data sensitif: Cookies, sesi, token autentikasi, dan informasi pribadi lainnya dapat dicuri menggunakan XSS dan dikirim ke server penyerang.
- Pembajakan sesi: Penyerang dapat membajak sesi pengguna yang sah dan mengakses akun mereka secara ilegal.
- Pengambilalihan situs web: XSS dapat digunakan untuk menyebarkan malware, mengubah konten halaman web, dan meluncurkan serangan lanjutan terhadap pengunjung situs.
- Phishing dan serangan social engineering: XSS dapat digunakan untuk membuat tautan dan formulir palsu yang terlihat sah, menipu pengguna untuk mengungkapkan informasi pribadi
PEMBAHASAN
Berikut adalah pengujian terhadap website yang kita buat dengan dua tahapan yaitu sebelum dan sesudah pemberian metode keamanan melalui input form dengan hasil sebagai berikut :
Tabel 1 merupakan hasil source code sebelum dan sesudah pemberian keamanan pada element input
Berikut adalah Contoh Script XSS sederhana yang akan kita gunakan pada website :
