Serangan XSS (Cross-Site Scripting)

XSS adalah singkatan dari kata Cross-Site Scripting yang artinya script yang dijalankan dengan memanfaatkan perantara. XSS tidak menyerang korban secara langsung namun memanfaatkan perantara untuk melakukannya.
Jika selama ini serangan yang dilakukan seringkali menargetkan server, namun serangan XSS menargetkan client atau pengunjung sebagai sasarannya.

Permasalahan XSS
Permasalahan XSS diakibatkan karena aplikasi server, mengambil dan menampilkan script yang dikirimkan oleh hacker tanpa melakukan encoding atau perubahan sehingga script tersebut akan dijalankan layaknya script yang memang disediakan oleh aplikasi web tersebut.

Teknik Serangan XSS
Serangan yang sebenarnya dengan XSS, tentunya ditujukan untuk korban dan bukan untuk diri sendiri atau server. Hacker bisa membuat link yang disertakan didalam sebuah email penipuan, dan ketika korban mengklik link tersebut, serangan XSS akan dilancarkan. Hacker bisa mengambil cookie dari korban dan mengambil alih account email, mengambil alih account internet banking dan mengambil uangnya.

Stored XSS
Serangan XSS tidak harus selalu aksi melalui penipuan dengan meminta korban untuk mengklik link/URL yang telah dibuat oleh Hacker. Kelemahan yang sering dikategorikan sebagai stored XSS sama sekali tidak membutuhkan aksi penipuan ataupun interfensi dari Hacker maupun korban. Permasalahan ini biasanya terjadi karena situs yang mengalami masalah XSS tersebut memperbolehkan pengunjung memposting artikel ataupun informasi lainnya yang akan ditampilkan pada halaman web.
Sebagai contoh, situs yang memperbolehkan pengunjung memposting komentar, situs yang memperbolehkan pengunjung memposting artikel atau situs yang memperbolehkan user memposting link/URL yang telah dimodifikasi sedemikian rupa adalah sangat rawan terkena serangan XSS. Hal ini telah dibuktikan oleh berbagai serangan yang pernah terjadi pada situs MySpace (baca artikel: XSS Menyerang MySPace)

Bibliography: -underground info-

Artikel Terkait: