XSS merupakan salah satu jenis serangan injeksi kode (code injection attack) yang memungkinkan suatu website untuk menampilkan kode berbahaya yang kemudian dieksekusi pada web browser pengguna (Grossman, Jeremiah., Hansen, Robert., D. Petkov, Petko., Rager, Anton,2007). Penyerang melakukan serangan XSS dengan cara memasukkan kode HTML atau kode
client script lainnya ke suatu website. Dengan menggunakan serangan ini penyerang bisa melakukan web deface yang dimaksudkan untuk mengelabui pengguna sehingga penyerang bisa mendapatkan informasi sensitif, ataupun menyimpan aplikasi berbahaya. Resiko yang mungkin diakibatkan dari kerentanan aplikasi web terhadap XSS diantaranya adalah pencurian akun pengguna. Hal ini sangat berbahaya karena penyerang bisa mendapatkan informasi sensitif milik pengguna. Serangan XSS dapat
terjadi karena suatu aplikasi web yang membutuhkan masukan dari pengguna tidak tersanitasi dengan baik. Cross Scripting Attack juga biasa dikenal dengan cross-site scripting. Seorang cracker bisa mengeksploitasi pertukaran cookies antara browser dan webserver. Fasilitas tersebut dapat mengaktifkan script untuk mengubah tampilan web. Script bisa menjalankan malware, membaca informasi penting, dan mengekspos data sensitive
seperti nomor credit card dan password. Sementara itu, kerawanan pada script-script web bisa terjadi pada semua bahasa pemrograman web dan semua ekstensi aplikasi, termasuk VB, Visual C++, ASP, TCL, Perl, PHP, XML, CGI dan Coldfusion. Pada dasarnya, attacker akan mengeksploitasi kelemahan dari sebuah aplikasi, seperti CGI script yang tidak memeriksa input atau kerawanan pada IIS RDS pada showcode. asp yang mengizinkan dijalankannya perintah secara remote (remote command priviledges).
XSS hanya perlu dilakukan pada situs dengan memasukkan perintah html di akhir anurl atau form yang terkena bugs xss. Berikut contoh situs yang terkena xss attack. inurl:”/showcatrows.php?CategoryId=” Cari sebuah situs di google dengan kata kunci : Di sini penulis mendapatkan situs dengan url :
Gambar 2.1. Hasil Penambahan Script Hacking xss bersifat sementara dan bisa dikatakan sebagai hiburan saja.Sebab jika Anda kembali ke halaman index utama atau me-refresh, maka halaman kembali seperti.Maka hacker lebih sering menggunakan hacking database atau yang sering di kenal ialah SQL Injection. Pada beberapa situs masih terdapat beberapa Vulnerability (kerentanan) yang menyebabkan pemilik situs tersebut masih berpotensi terkena XSS. Salah satunya mesin pencari / search mengambil data dari kata kunci yang dimasukan. (Kevin spett, 2005). Misalnya pada Ruby On Rail. Ruby On Rail merupakan salah satu Framework untuk aplikasi website (Hendrayana, 2007) Detail Pengujian XSS pada Ruby On Rail :
Namun jika kita masukan java script ini “<script>alert(‘contoh pengujian Xss pada CakePHP’);</script>” di uji di form komentar, maka akan tereksekusi sebagai text biasa bukan sebagai perintah.
Berdasarkan analisis yang kami lakukan dapat diperoleh kesimpulan bahwa :
Cara pencegahan XSS secara umum :
Untuk penanggulangan serangan XSS, Ruby on Rails menyediakan beberapa alternatif (Heiko Webers,2008) :
|