Suwito Pomalingo | Seize The Day
A – Z Cybercrime Series : XSS Attack
XSS atau Cross Site Sripting merupakan salah satu jenis serangan injeksi code (code injection attack). Cross Site Sripting XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client Script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya. Walaupun termasuk teknik yang sederhana namun Cross site scripting tergolong teknik yang cukup efektif untuk merusak keamanan sebuah website.
Pembobolan situs KPU pada tahun 2004 lalu merupakan salah satu contoh kasus serangan Cross Site Scripting. Dengan teknik XSS dan SQL Injection, Dani Firmansyah mampu menembus website KPU.
Untuk mencegah terjadinya serangan XSS pada website kita, perlu dilakukan langkah-langkah seperti :
- Jangan pernah memasukkan data tidak terpercaya kecuali pada beberapa lokasi yang diizinkan
- Escape HTML sebelum data tidak terpercaya masuk ke dalam konten elemen HTML
- Mengamankan mark-up HTML dengan library
- Pencegahan berbasis DOM
- Menggunakan HTTPOnly cookie flag
- Menggunakan system auto-escaping template dan menerapkan content security policy
- Dan masih banyak lainnya yang bisa kita temukan di situs OWASP
terima kasih. sangat membantu