JURNAL TEKNIK POMITS Vol. 2, No.
1, (2013) ISSN: 2337-3539 (2301-9271 Print)
Rancang Bangun Add-ons Deteksi Cross Site
Scripting (XSS) pada Peramban Mozilla Firefox
Yustiana Tri Wahyuni, Ary Mahzaruddin Shiddiqi
Teknik Informatika, Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)
Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia
e-mail: ary.shiddiqi@cs.its.ac.id.com
AbstrakSaat ini penggunaan aplikasi web dinamis selalu
mengalami peningkatan. Hal tersebut terjadi karena
penggunaannya dapat memudahkan segala kebutuhan pengguna
baik dalam menyediakan maupun manipulasi sumber daya dari
server. Berkembangnya fitur-fitur yang didukung oleh peramban
juga menciptakan suatu interaksi yang lebih beranekaragam
dalam layanan berbasis web. Di Indonesia sendiri, pengguna
Mozilla Firefox mencapai 300 juta orang. Namun, penggunaan
aplikasi web dinamis juga meningkatkan ancaman eksploitasi
web, salah satunya adalah Cross Site Scripting (XSS). XSS
merupakan jenis serangan injeksi code yang memanfaatkan celah
suatu situs web di mana seolah-olah serangan berasal dari situs
tersebut. Untuk itu diperlukan suatu mekanisme perlindungan
pengguna terhadap XSS pada peramban Mozilla Firefox. Sistem
dapat mendeteksi XSS secara adaptif tanpa perlu menyimpan
daftar situs yang terinfeksi XSS terlebih dahulu. Sistem
diimplementasikan dalam bentuk add-ons untuk meningkatkan
kemampuan Mozilla Firefox. Pada aplikasi deteksi XSS ini,
digunakan metode Naive Bayes sebagai klasifikator dan 10-fold
Cross Validation sebagai metode evaluasi model. Di mana, dari
hasil uji coba terhadap sistem, diperoleh tingkat akurasi sebesar
89%.
Kata kunci Keamanan Jaringan, Mozilla Firefox, XSS
I. PENDAHULUAN
W ORLD wide web atau yang lebih dikenal dengan www
merupakan suatu ruang informasi yang digunakan untuk
menyediakan data dan informasi yang dapat digunakan
bersama. Pada awalnya hanya terdapat web statis yang
digunakan untuk memberikan informasi berupa teks dan grafis.
Akan tetapi dengan semakin berkembangnya jaman, situs web
yang ada menjadi semakin profesional dan dinamis. Layanan
online yang sering digunakan seperti jejaring sosial, e-
commerce, blog dan forum juga menggunakan aplikasi
dinamis dalam berinteraksi dengan pengguna. Pengguna
menggunakan aplikasi web untuk berkomunikasi dengan
pengguna lain via instant messaging, membuat spreadsheets,
presentasi, mengirim e-mail, membaca berita dan lain
sebagainya. Berkembangnya peramban yang ada juga
memudahkan penggunaan internet yang ada, salah satunya
Mozilla Firefox. Dari 450 juta pengguna peramban Mozilla
Firefox, 65% merupakan penduduk Indonesia [1]. Akan tetapi
seiring dengan perkembangan layanan-layanan web, ancaman
terhadap terjadi eksploitasi seperti pencurian data pribadi juga
ikut meningkat.
1
XSS adalah suatu teknik yang memanfaatkan situs web
untuk menampilkan malicious code yang kemudian dieksekusi
pada peramban pengguna. Menurut data dari White Hat
Security, XSS [3] merupakan celah serangan yang paling
banyak ditemukan. Pada tahun 2012, sebanyak 47% dari total
serangan merupakan celah serangan XSS. Oleh karena itu
diperlukan suatu mekanisme perlindungan untuk mendeteksi
XSS pada peramban pengguna sehingga pengguna dapat
terhindar dari ancaman XSS.
Makalah ini membahas rancang bangun add-ons deteksi
XSS pada peramban Mozilla Firefox. Sistem dibuat dalam
bentuk add-ons untuk meningkatkan kemampuan yang dimiliki
oleh Mozilla Firefox. Aplikasi ini akan memberikan notifikasi
kepada pengguna apabila pengguna mengakses halaman yang
terinfeksi XSS.
II. TINJAUAN PUSTAKA
A. Cross Site Scripting (XSS)
Cross Site Scripting (XSS) adalah adalah suatu teknik
penyerangan yang memaksa suatu situs web untuk
menampilkan malicious code yang kemudian dieksekusi pada
peramban pengguna. Penyerangan XSS dapat dilakukan
dengan cara memasukkan kode JavaScript, HTML atau
menggunakan pihak ketiga sebagai sumber ke suatu situs di
mana serangan seolah-olah datang dari situs tersebut seperti
digambarkan pada Gambar 1. XSS dapat diklasifikasikan
menjadi tiga jenis yaitu Persistent, Reflective, dan DOM based
[2].
1. Persistent XSS
Celah Persistent XSS muncul ketika sebuah program web
server menyimpan input pengguna dalam suatu basis data,
di mana data yang tersimpan tersebut diakses oleh
program dan dapat dilihat oleh pengguna yang berbeda.
2. Reflective XSS
Pada Reflective XSS, celah muncul ketika server
membuka suatu halaman web yang parameter HTTP
request-nya terinjeksi malicious code.
3. DOM based XSS
Celah DOM based XSS muncul ketika terdapat script
yang merujuk pada input pengguna yang diperoleh dari
struktur DOM (Document Object Model) tanpa validasi
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
yang tepat sehingga script berbahaya dapat disisipkan ke
dalam DOM tersebut pada sisi pengguna.
Trusted
User
Use
r Attackers
Server
1: User visits the
attackers Web site
2: User clicks on a malicious link and an HTTP request
containing JavaScript code is sent to the trusted server
3: The trusted server returns an error message
containing the name of the resource
4: The JavaScript code is executed and the user
cookie associated with the trusted server is sent
to the attackers server
Gambar 1. Skenario Penyerangan XSS
B. Metode Naive Bayes
Naive Bayes merupakan suatu metode pengklasifikasian
menggunakan probabilitas dan statistik yang dikemukakan
oleh Thomas Bayes, yakni memprediksi kemungkinan atau
peluang di masa depan berdasarkan pengalaman yang ada di
masa sebelumnya di mana kondisi antar atribut saling bebas.
Karena diasumsikan sebagai atribut yang bebas, maka hanya
varians dari suatu attribut dalam kelas yang dibutuhkan untuk
menentukan klasifikasi, bukan keseluruhan dari varians. Untuk
mengklasifikasikan suatu sampel x, Klasifikator Bayes
menghitung peluang posteriori dari tiap kelas pada xdan
memberi nilai x kelas dengan nilai peluang posteriori
terbesar. Persamaan Naive Bayes, digambarkan pada (1).
(1 ,, |)
C 1 , , = p (1 ,, )
Dimana :
- F menunjukkan feature.
- C menunjukkan class.
- P menunjukkan probabilitas.
C. Cross Validation
Cross Validation adalah teknik validasi model untuk menilai
hasil analisis terhadap generalisasi dataset. Cross Validation
digunakan untuk memprediksi serta memperkirakan akurasi
model terhadap praktek. Pengujian Cross Validation sangat
penting dilakukan terutama dalam mempertahankan hasil
pengujian hipotesis yang menggunakan data terutama apabila
sampel data merupakan data yang berbahaya, mahal atau sulit
didapatkan.
Dalam pengujian tugas akhir ini, digunakan metode
evaluasi Cross Validation tipe 10-fold atau yang biasa disebut
10-fold Cross Validation. Metode 10-fold Cross Validation
dapat dijabarkan sebagai berikut:
2
1. Bagi dataset menjadi 10 bagian dengan ukuran yang
sama.
Trusted
Trusted
Deteksi XSS
Server
Server Pengecekan Hasil Deteksi
User
Request halaman web
Mengakses halaman web legitimate Url halaman web Respon halaman web
Mengakses halaman web XSS
Hasil deteksi
Notifikasi XSS
Server XSS
Web Server
User
Gambar 2. Arsitektur Sistem
2. Lakukan training dataset pertama terhadap sembilan
dataset lainnya.
3. Ulangi training dataset sebanyak 10 kali dan hitung
rata-rata akurasinya.
III. DESAIN SISTEM
A. Deskripsi Umum
Sebagaimana yang telah diuraikan pada bab sebelumnya,
maka pada artikel ini akan didesain sebuah add-ons pada
peramban Mozilla Firefox yang berfungsi untuk mendeteksi
serangan Cross Site Scripting (XSS). Add-ons ini berjalan
pada peramban MozillaFirefox versi 19 dan sesudahnya.
Dari add-ons inilah data halaman web yang diakses
pengguna diambil kemudian dikirim ke server untuk dilakukan
pendeteksian terhadap serangan XSS. Ketika halaman web
yang diakses oleh pengguna tidak terdeteksi XSS maka add-
ons tidak akan melakukan tindakan apapun, sebaliknya apabila
halaman yang diakses terdeteksi XSS maka add-ons akan
mengeluarkan notifikasi berupa peringatan atas bahaya XSS.
Pengguna dapat memilih untuk tetap mengakses halaman web
(1) atau meninggalkan halaman web.
B. Arsitektur Sistem
Rancangan arsitektur dari sistem yang dibuat
digambarkan dalam diagram Gambar 2. Aplikasi bekerja pada
saat user mengakses suatu halaman web. Add-ons pada
peramban Mozilla akan mengambil data url halaman yang
akan diakses oleh user kemudian mengirimnya ke server.
Kemudian server mengirimkan request untuk meminta konten
halaman web dari url yang didapatkan sebelumnya dari add-
ons. Setelah mendapatkan konten halaman web dari web server
kemudian server XSS melakukan decoding terlebih dahulu
terhadap url. Kemudian server XSS melakukan ekstraksi
feature url dan konten halaman web. Hasil dari proses
ekstraksi digunakan untuk proses klasifikasi XSS, di mana
proses klasifikasi XSS pada sistem ini menggunakan metode
Naive Bayes. Setelah proses klasifikasi selesai, server XSS
mengirimkan hasil klasifikasi kepada add-ons. Apabila
halaman web yang diakses user merupakan halaman yang
aman, maka add-ons tidak akan melakukan tindakan apapun.
Sebaliknya, apabila halaman yang diakses oleh user terindikasi
XSS, maka add-ons akan memberikan notifikasi bahaya XSS.
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)
C. Feature
Pada sistem terdapat proses ekstraksi feature, pada
bagian ini akan dijelaskan mengenai beberapa feature yang
digunakan oleh penulis dalam perancangan aplikasi.
Tabel 1. Perhitungan Akurasi
Klasifikasi
Kondisi
XSS Normal
XSS TP FN
Normal FP TN
1) Panjang Url
Panjang Url merupakan jumlah karakter dalam suatu
url. Feature ini biasa digunakan untuk mengklasifikasi
malicious Url dalam serangan phising [4].
2) Obfuscated Code
Obfuscated Code merupakan suatu karakter yang
disamarkan menggunakan metode encoding. Beberapa
metode encoding yang biasa digunakan antara lain:
Unicode, HexaDecimal, Octal, dan Base64. Feature
ini biasa digunakan dalam serangan XSS meskipun
juga ditemukan dalam halaman web biasa [4].
3) Jumlah Domain
Jumlah Domain merupakan jumlah domain yang
diitemukan url. Feature ini biasa ditemukan dalam
serangan redirect, sehingga pengguna mengakses
halaman lain yang merupakan milik penyerang [5].
4) Karakter Duplikat
Feature ini merujuk pada karakter spesial yang
ditemukan pada pembuka dan penutup dari tags [4],
seperti << , , dan >>. Feature ini sering ditemukan
pada serangan yang ingin mengantisipasi filter anti-
XSS.
5) Tags
Feature ini merupakan pengecekan keberadaan tags
yang potensial terhadap eksekusi JavaScript seperti:
<script>, <iframe>, onclick, alert(), fromCharCode()
dan lain sebagainya [4].
6) Kata Kunci
Feature ini merujuk pada kata kunci yang sering
ditemukan pada halaman redirect yang menyebarkan
malware dan situs phising [5].
D. Perancangan Alur Sistem
Pada sistem terdapat beberapa tahap pemrosesan.
Dimulai dari proses decoding url, ekstraksi fitur hingga proses
klasifikasi XSS.
1. Proses Decoding Url
Pada tahap ini, url dari halaman yang akan dideteksi,
diperiksa terlebih dahulu apakah memiliki obfuscated
code atau tidak. Apabila ditemukan obfuscated code di
dalam url, server XSS akan melakukan decoding terlebih
dahulu sebelum melakukan proses ekstraksi.
2. Proses Ekstraksi Feature
Pada proses ekstraksi feature, server XSS mengekstrak
3
url dan konten halaman web sehingga menghasilkan
vektor feature, di mana vektor feature ini akan digunakan
untuk proses klasifikasi.
Tabel 2. Perbandingan Hasil Klasifikasi XSS
Naive Bayes K-Nearest Neighbor
Akurasi 89% 88%
Recall 80% 77%
Ketelitian 97% 98%
3. Proses Klasifikasi
Pada proses ini, sistem melakukan klasifikasi halaman
web untuk menentukan apakah web termasuk kategori
XSS atau tidak, berdasarkan hasil vektor feature. Dataset
XSS telah disiapkan sebelumnya sebagai data training
dalam melakukan klasifikasi XSS.
IV. UJI COBA DAN IMPLEMENTASI
A. Database
Untuk mengklasifikasi suatu halaman web dibutuhkan suatu
data training sebagai sampel yang meliputi sampel positif dan
negatif. Sampel positif berfungsi sebagai contoh data yang
terserang XSS dan sampel negatif sebagai contoh data yang
tidak terserang XSS. Sebagai sampel positif digunakan 100
data halaman web dari XSSed database [6]. Sedangkan 100
data sampel negatif didapatkan dari ClueWeb09 database [7].
B. Uji Coba Fungsionalitas
Tahap uji coba fungsionalitas bertujuan untuk mengetahui
kemampuan sistem menjalankan kebutuhan dasar. Uji coba ini
meliputi kemampuan sistem untuk mendeteksi halaman web
dengan kategori normal dan mendeteksi halaman web dengan
kategori XSS.
Dari hasil uji coba, sistem mampu memberikan hasil
pendeteksian dengan baik untuk kategori web normal maupun
kategori web XSS. Hal ini berarti sistem sudah mampu
berjalan dengan baik dan berhasil menjalankan fungsi-fungsi
dasarnya.
C. Uji Coba Performa
Uji coba performa dijalankan untuk mengetahui kehandalan
sistem dalam mendeteksi XSS.
1) Uji Coba Akurasi
Untuk mengetahui tingkat akurasi dari aplikasi maka
diperlukan perhitungan akurasi yang meliputi True Positive,
True Negative, False Positive dan False Negative seperti yang
ditunjukkan pada Tabel 1.
1. True Positive (TP)
Jumlah kasus halaman web yang terserang XSS dan
hasil tes menyatakan terserang XSS.
2. False Positive (FP)
Jumlah kasus pasien yang tidak terserang XSS, tetapi
hasil tes menyatakan terserang XSS.
3. True Negative (TN)
JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print) 4

Jumlah kasus halaman web tidak terserang XSS dan
hasil tes menyatakan tidak terserang XSS.
4. False Negative (FN)
Jumlah kasus pasien yang terserang XSS, tetapi hasil
tes menyatakan tidak terserang XSS.
Dalam pengujian ini digunakan 10-fold cross
validation sebagai metode evaluasi dan menggunakan metode
klasifikasi Naive Bayes dan K-Nearest Neighbor sebagai
pembanding. Untuk pengujian metode K-Nearest Neighbor
digunakan alat bantu Weka.
Tabel 2 menggambarkan perbandingan hasil klasifikasi
antara metode Naive Bayes dan K-Nearest Neighbor, di mana
metode Naive Bayes lebih unggul dalam perhitungan akurasi
dan recall. Selain itu dapat dilihat pula bahwa metode Naive
Bayes memberikan hasil akurasi yang baik yaitu sebesar 89%.
2) Uji Coba Kecepatan
Uji coba kecepatan diperlukan untuk mengetahui
kecepatan proses deteksi dari aplikasi. Perhitungan waktu
dimulai sejak add-ons Mozilla mengirim data url halaman web
sampai dengan menerima hasil deteksi XSS halaman web dari
server. Pengujian dilakukan dengan mengambil 5 data url
normal dan 5 data url yang terindikasi XSS. Hasil uji coba
menunjukkan selisih response time antara peramban yang
menggunakan add-ons pendeteksi XSS dan tidak, rata-rata
sebesar 712,4 ms.
3. Peningkatan akurasi dengan penambahan data training.
UCAPAN TERIMA KASIH
Penulis Y.T.W mengucapkan terima kasih kepada Tuhan
Yang Maha Esa, kedua orangtua dan keluarga penulis, dosen
pembimbing, seluruh dosen Teknik Informatika ITS, kerabat
dekat, serta berbagai pihak yang telah membantu penulis
dalam menyelesaikan penelitian ini.
DAFTAR PUSTAKA
[1] "Browsers in Indonesia". StatCounter Global Stats. StatCounter.
Retrieved August 24, 2012.
[2] G. e. S. Z Waserman, "Static Detection of Cross-Site Scripting
Vulnerabilities Investigation," in 30th International Conference of
Software Engineering, 2008.
[3] White Hat Security. White Hat Security. [Online].
https://www.whitehatsec.com/ [Diakses 1 Juli 2013].
[4] A. E., Souto, A. E., Santos, Eulanda M., Feitosa, Eduardo Nunan,
"Automatic Classification of Cross Site Scripting in Web Pages Using
Document-based and URL-based Features," IEEE, 2012.
[5] J., Hansen R., Petkov, D.P., Rager, A. e Fogie, S. Grossman, Cross Site
Scripting Attack: XSS Exploit and Defense. Burlington, MA, EUA:
Syngress Publishing Inc, 2007.
[6] XSS Database Archive. XSS Database Archive. [Online].
http://xssed.com/ [Diakses 1 Juli 2013].
[7] The Lemur Project. [Online]. http://lemurproject.org/clueweb09/
[Diakses 1 Juli 2013].

V. KESIMPULAN DAN SARAN

A. Kesimpulan
Dari hasil pengamatan selama perancangan, implementasi,
dan pengujian perangkat lunak, dapat diambil kesimpulan
sebagai berikut:
1. Sistem telah diimplementasikan dan dapat berjalan
dengan baik dalam mendeteksi XSS dalam suatu
halaman web.
2. Sistem deteksi XSS yang dibuat sudah mampu
mendeteksi XSS dengan tipe Reflektif dengan tingkat
akurasi dan ketelitian sebesar 89% dan 97%.
3. Aplikasi ini mampu memberikan notifikasi XSS ketika
pengguna mengakses halaman yang termasuk kategori
XSS.
4. Kecepatan proses deteksi tidak berpengaruh besar
terhadap response time, yakni selisihnya hanya sebesar
712,4 ms.
B. Saran
Berikut merupakan beberapa saran untuk pengembangan
sistem di masa yang akan datang, berdasar pada hasil
perancangan, implementasi, dan pengujian yang telah
dilakukan:
1. Pengembangan aplikasi pendeteksi XSS untuk tipe
Persistent dan DOM.
2. Peningkatan kecepatan proses deteksi dengan
mengimplementasikan thread untuk proses ekstraksi
sehingga proses ekstraksi dapat dilakukan secara
paralel.