CROSS SITE SCRIPTING

Tugas Akhir Keamanan Sistem Informasi (EC5010)

Oleh
Richson Untung Tambun
13200036

DEPARTEMEN TEKNIK ELEKTRO

FAKULTAS TEKNOLOGI INDUSTRI
INSTITUT TEKNOLOGI BANDUNG
2004
ABSTRAKSI

Teknologi dynamic web page kini telah menjadi bagian yang tidak
terpisahkan dari kehidupan dunia maya. Teknologi ini membawa perubahan yang
signifikan dalam proses pembangunan sistem penyedia layanan dalam jaringan
internet. Teknologi ini memampukan penyedia layana untuk memberikan layanan
yang lebih inovatif. Efek yang diharapkan tentu saja peningkatan dari segi ekonomi.
Namun dibalik keuntungan-keuntungan tersebut, teknologi ini memiliki
permasalahan dari segi keamanan. Permasalahan keamanan tersebut dinamakan cross
site scripting, atau juga dikenal sebagai XSS. Permasalahan ini tidak boleh dipandang
sebelah mata. Kebocoran informasi penting merupakan hal yang dapat terjadi jika
kelemahan ini tidak ditangani dengan baik.
Tulisan ini mencoba membahas bagaimana cross site scripting itu terjadi.
Tulisan ini tidak ditujukan untuk melakukan tindak kriminal. Tulisan ini diarahkan
untuk membuka mata pembaca betapa berbahayanya cross site scripting ini. Metoda
pencegahan yang dapat diterapkan juga diberikan pada tulisan ini.

ii
DAFTAR ISI

ABSTRAKSI ................................................................................................................ii
DAFTAR ISI................................................................................................................iii
DAFTAR GAMBAR ...................................................................................................iv
DAFTAR TABEL......................................................................................................... v
1 PENDAHULUAN .................................................................................................... 1
1.1 Bagaimana Halaman Web Dihasilkan?............................................................... 1
1.2 Halaman Web Yang Statis Dan Dinamis ............................................................ 3
2 CROSS SITE SCRIPTING......................................................................................... 6
2.1 Cara Kerja Cross Site Scripting .......................................................................... 6
2.2 Web Site Dengan Cross Site Scripting ............................................................... 8
2.2 Informasi Yang Diterbitkan Penyedia Layanan................................................ 13
2.3 Link Dalam Cross Site Scripting ..................................................................... 14
2.4 Pencurian Data .................................................................................................. 15
2.5 Apa Yang Cross Site Scripting Dapat Lakukan? .............................................. 15
3 PENCEGAHAN CROSS SITE SCRIPTING........................................................... 17
3.1 Teknologi Static Web Page............................................................................... 17
3.2 Metoda POST.................................................................................................... 17
3.3 Pengkodekan Karakter Special Pada Link ........................................................ 19
3.4 Hilangkan Kemampuan Scripting ..................................................................... 21
3.5 HTTP-Only Cookie........................................................................................... 22
3.6 Ikuti Link Utama ............................................................................................... 22
4 KESIMPULAN ....................................................................................................... 23
REFERENSI ............................................................................................................... 24

iii
DAFTAR GAMBAR

Gambar 1. Alur data tipikal untuk halaman web yang statis [4]................................... 2
Gambar 2. Contoh alur data pada halaman web yang dinamis (adaptasi dari [4]) ....... 5
Gambar 3. Contoh kasus cross site scripting ................................................................ 8
Gambar 4. Tampilan halaman web dengan input <script>alert(‘Ho ho ho’)</script>10
Gambar 5. Pesan pop up, mengindikasikan injeksi kode berhasil .............................. 11
Gambar 6. Pengubahan informasi memanfaatkan cross site scripting [3] .................. 16
Gambar 7. Halaman web yang dihasilkan menggunakan metoda POST.................... 18
Gambar 8. Pengkodean pada friendster.com............................................................... 19
Gambar 9. Pengkodean yang berhasil dilakukan pada injeksi script .......................... 21

iv
DAFTAR TABEL

Tabel 1. Perbandingan antara static web page dengan dynamic web page................... 3
Tabel 2. HTML Escape Encoding [3] ......................................................................... 12

v
BAB I

PENDAHULUAN

Perkembangan dalam dunia maya terjadi sangat pesat. Teknologi baru

dirancang dan diimplementasikan untuk memenuhi kebutuhan pengguna yang
semakin beragam. Teknologi halaman web termasuk didalamnya. Teknologi yang ada
kini telah ber-revolusi menuju ke tingkatan yang berbeda. Halaman web kini tidak
lagi statis namun juga dinamis. Kini halaman web yang dinamis merupakan
pemandangan yang biasa kita lihat ketika melakukan surfing menggunakan internet.
Halaman web yang dinamis merupakan teknologi yang memberi perubahan
penyediaan informasi, layanan, dan tampilan secara signifikan. Halaman web yang
dinamis memungkinkan interaksi yang lebih baik antara penyedia layanan dengan
penggunanya. Dengan menggunakan teknologi ini, halaman web akan terlihat lebih
manusiawi. Penyedia layanan dapat menambahkan content-content yang sebelumnya
masih merupakan impian belakan.
Sisi ekonomi sangat mempengaruhi perkembangan teknologi dynamic web
page ini. Perkembangan internet yang pesat menimbulkan kenaikan yang pesat pada
jumlah penyedia layanan yang ada. Teknologi ini berkembang ketika persaingan
antara penyedia layanan semakin meningkat. Dengan adanya teknologi ini, penyedia
berharap dapat memberikan pelayanan yang dapat menarik perhatian pengguna
potensial yang ada.

1.1 Bagaimana Halaman Web Dihasilkan?

Tampilan web yang kita lihat ketika melakukan surfing melalui internet
sebenarnya hanyalah file teks biasa. File tersebut terletak pada sebuah server yang

1
dimiliki oleh penyedia layanan tersebut. File ini dapat diperoleh oleh pengguna
dengan sebuah request. File dengan ekstensi tertentu tersebut kemudian ditampilkan
dengan menggunakan sebuah program interpreter. Ektensi file yang biasa ditemukan
antara lain html, htm, php, asp, cgi dan lain lain. Untuk lebih jelasnya dapat dilihat
pada gambar 1.

Gambar 1. Alur data tipikal untuk halaman web yang statis [4]

Komunikasi yang terjadi pada dunia maya saat ini dapat berjalan dengan baik
karena kini telah ada standar bahasa web yang digunakan. Standar itu mencakup
format dan juga tata bahasa. Standar tersebut dikembangkan oleh World Wide Web
Consortium (W3C). Untuk HTML, standar terakhir yang digunakan adalah XHTML
1.0.
Software penerjemah merupakan ujung tombak dari komunikasi ini. Program
ini yang akan menampilkan file teks yang telah diterima sehingga dapat dimengerti

2
oleh pengguna. Software penerjemah melakukan proses visualisasi berdasarkan
perintah yang terdapat pada file teks yang diperoleh. Kesalahan bahasa pada file teks
yang diterima akan menyebabkan kesalahan pada proses penerjemahan. Software
penerjemah ini lebih dikenal dengan sebutan browser web. Browser web populer saat
ini adalah internet explorer dan keluarga netscape.

1.2 Halaman Web Yang Statis Dan Dinamis

Perbedaan mendasar antara proses penyediaan halaman web statis dengan

proses penyediaan halaman web yang dinamis terletak pada request dan program
penyediaan halaman web pada server yang digunakan. Tabel 1 menunjukkan
perbedaan tersebut.

Teknologi Request Program pada server

Static web page Informasi berisi halaman yang Mengirimkan halaman yang
diinginkan diinginkan
Halaman tersebut merupakan
file yang sama dengan yang
terdapat pada server
Dynamic web Informasi berisi halaman yang Mengirimkan halaman yang
page diinginkan ditambah masukkan isinya berdasarkan
pengguna masukkan pengguna
Isi halaman yang dikirimkan
dapat berbeda dengan yang
terdapat pada server

Tabel 1. Perbandingan antara static web page dengan dynamic web page

3
 Dari tabel 1, kita dapat menyimpukan bahwa teknologi dynamic web page
memungkinkan halaman web yang mampu beradaptasi masukan pengguna. Untuk
mendukung kemampuan tersebut, server yang menggunakan tekonologi dynamic web
page didukung kemampuan bahasa pemrograman.
Isi halaman web yang dinamis, terdapat pada server, biasanya berisi script
pemrograman dalam bahasa yang biasa terdapat dalam teknologi web seperti
JavaScript dan VB. Script pemrograman ini menerima dan memproses variabel –
variabel yang dilalukan pengguna ketika request dilakukan. Halaman yang
dikirimkan oleh server akan berisi informasi yang sangat tergantung algoritma
pemrosesan dari halaman yang terdapat pada server. Gambar 2 menunjukkan contoh
alur data halaman web yang dinamis. Halaman web yang dinamis ditunjukkan oleh
file helo.asp. Terlihat bahwa file sumber (yang terdapat pada server) berbeda dengan
file yang dikirimkan ke pengguna.

4
 Gambar 2. Contoh alur data pada halaman web yang dinamis (adaptasi dari [4])

Kemudian timbul pertanyaan? Bagaimana jika variabel yang dikirimkan

tersebut bukan berupa data biasa namun berupa kode juga? Apakah yang akan
dilakukan server terhadap masukkan ini? Bagaiman halaman web yang dihasilkan
oleh server tersebut? Apa akibat input yang tidak wajar tersebut ketika halaman web
yang dihasilkan dijalankan di browser client? Cross site scripting didasarkan pada
pertanyaan-pertanyaan tersebut.

5
BAB II

CROSS SITE SCRIPTING

Cross site scripting adalah kelemahan keamanan yang terjadi pada

penggunaan teknologi dynamic page. Cross site scripting dapat diartikan sebagai
kelemahan yang terjadi akibat ketidakmampuan server dalam memvalidasi input yang
diberikan oleh pengguna. Algoritma, yang digunakan untuk pembuatan halaman yang
diinginkan, tidak mampu melakukan penyaringan terhadap masukkan tersebut. Hal
ini memungkinkan halaman yang dihasilkan menyertakan perintah yang sebenarnya
tidak diperbolehkan.
Cross site scripting merupakan kelemahan yang populer untuk dieksploitasi.
Namun sayangnya, banyak penyedia layanan yang tidak mengakui kelemahan
tersebut dan melakukan perubahan pada sistem yang mereka gunakan. Citra penyedia
layanan merupakan harga yang dipertaruhkan ketika mereka mengakui kelemahan
tersebut. Sayangnya dengan tindakan ini konsumen atau pengguna menjadi pihak
yang dirugikan.

2.1 Cara Kerja Cross Site Scripting

Cross site scripting bekerja bak penipu dengan kedok yang mampu
mengelabui orang yang tidak waspada. Elemen penting dari keberhasilan cross site
scripting adalah social engineering yang baik dari si penipu. Social engineering
merupakan elemen terpenting yang menentukan keberhasilan penipuan yang akan
dilakukan. Cross site scripting memampukan seseorang yang tidak bertanggungjawab
melakukan penyalahgunaan informasi penting.

6
 Sebelum sampai pada proses penyalahgunaan tersebut, penyerang mengambil
langkah-langkah dengan mengikuti pola tertentu. Langkah pertama, penyerang
melakukakan pengamatan untuk mencari web-web yang memiliki kelemahan cross
site scripting. Langkah kedua, sang penyerang mencari tahu apakah web tersebut
menerbitkan informasi yang dapat digunakan untuk melakukan pencurian infomasi
lebih lanjut. Informasi tersebut biasanya berupa cookie. Langkah kedua ini tidak
selalu dijalankan. Langkah ketiga, sang penyerang membujuk korban untuk
mengikuti sebuah link yang mengandung kode, ditujukan untuk mendapatkan
informasi yang telah disebutkan sebelumnya. Kemampuan social engineering dari
sang penyerang diuji disini. Setelah mendapatkan informasi tersebut, sang penyerang
melakukan langkah terakhir, pencurian maupun pengubahan informasi vital.
Berikut merupakan contoh kasus dari cross site scripting. Anggap sebuah
penyedia layanan message board, A, memiliki kelemahan cross site scripting. Web
tersebut juga menghasilkan cookie. Cookie tersebut bertujuan agar pengguna dapat
membuka jendela browser baru tanpa memasukkan user name dan password lagi. B,
mencoba untuk mengeksploitasi kelemahan ini, meletakkan sebuah link yang
mengandung kode yang “jahat” pada message board tersebut. C, seorang pengguna,
tertarik pada link tersebut menekan link tersebut. Tanpa disadari C, cookie yang
terdapat pada komputernya telah dikirimkan ke komputer B. Kini B dapat mengakses
message board sebagai C hanya dengan menggantikan cookienya dengan cookie yang
ia dapatkan dari C. Gambar 3 menunjukkan alur dari kejadian tersebut.

7
 Gambar 3. Contoh kasus cross site scripting

Bagian berikut akan menjelaskan secara lebih mendalam setiap langkah

sampai penyalahguanan informasi dapat terjadi.

2.2 Web Site Dengan Cross Site Scripting

Pencarian web site dengan kelemahan cross site scripting sebenarnya tidaklah
terlalu sulit. Web site yang menghasilkan halaman web yang dinamis merupakan
syarat utama yang diperlukan untuk mengeksploitasi kelemahan ini. Web dengan
form input merupakan web potensial untuk dieksplotasi cross site scripting. Web
yang membutuhkan user name dan password serta search engine termasuk
didalamnnya.

8
 Syarat berikutnya adalah web tersebut menggunakan metoda get ketika
melakukan komunikasi. Methoda get mencantumkan informasi pada field link (juga
disebut querystring) yang dikirimkan. Contoh dari link dengan menggunakan
methoda get, http://www.richson.com/halaman1.asp?username=me. Ini menunjukkan
bahwa web tersebut dapat diinjeksi dengan script.
Langkah terakhir adalah memastikan bahwa script yang kita tulis berhasil
diinjeksikan. Jika injeksi berhasil dilakukan, contoh link berikut akan menampilkan
halaman1.asp dengan pop-up box ketika di klik (pop up box tersebut akan bertuliskan
“Ho ho ho ”), http://www.richson.com/halaman1.asp?username=<script language =
“JavaScript”>alert (‘Ho ho ho’) </script>.
Contoh berikut merupakan merupakan halaman web yang menggunakan form.
Data yang dikirimkan berupa nama pengguna. Data dikirimkan dengan menggunakan
metoda get. Isi halaman web tersebut adalah sebagai berikut.

<HTML>
<HEAD>
<TITLE>
- Contoh halaman menggunakan form -
</TITLE>
</HEAD>
<BODY>
<form name="input" method="get" action="helo.asp">
Nama user :
<input type=text name="username">
<br>
<input type=submit value="Send">
</form>
</BODY>
</HTML>

9
 Script file yang bertugas menghasilkan halaman web berdasarkan input dari
login.html adalah hello.asp . Isi dari hello.asp adalah sebagai berikut.

<HTML>
<BODY>
<%
response.write "Selamat datang "
response.write request.querystring("username")
%>
</BODY>
</HTML>

Gambar 4. Tampilan halaman web dengan input <script>alert(‘Ho ho ho’)</script>

10
 Halaman web dinamis yang dihasilkan oleh server
(http://et1/helo.asp?username=%3Cscript%3Ealert%28%27Ho+ho+ho%27%29%3C
%2Fscript%3E) berisi script sebagai berikut.

<HTML>
<BODY>
Selamat datang <script>alert('Ho ho ho')</script>
</BODY></HTML>

Gambar 5. Pesan pop up, mengindikasikan injeksi kode berhasil

Injeksi sering kali tidak berhasil dilakukan. Ini dapat terjadi akibat proses
pemfilteran di sisi server. Pemfilteran ini biasanya dilakukan dengan menghilangkan
karakter karakter spesial yang penting dalam pengkodean dan juga karakter karakter

11
ekuivalen yang dikodekan. Pengkodean yang biasa digunakan adalah HTML escape
encoding. Tabel 2 menunjukkan karakter tersebut dengan ekuivalen karakter yang
telah dikodekan.

Char Code Char Code

; %3b { %7b
/ %2f } %7d
? %3f | %7c
: %3a \ %5c
@ 40% ^ %5e
= %3d ~ %7e
& 26% [ %5b
< %3c ] %5d
> %3e ` 60%
“ 22% % 25%
# 23% ‘ 27%

Tabel 2. HTML Escape Encoding [3]

Namun pemfilteran tersebut dapat dengan mudah dilewati oleh para

penyerang dengan menggunakan metode-metode tertentu. Metode tersebut digunakan
ketika injeksi tidak berhasil dilakukan. Dengan melihat halaman web dinamis yang
dihasilkan, kita dapat mengetahui metoda pemfilteran yang dilakukan. Metoda test
dan coba merupakan metoda yang efektif untuk melancarkan serangan balasan
terhadap pemfilteran tersebut.
Menghilangkan kode “<” dan “>” merupakan salah satu metoda untuk
mencegah injeksi kode yang mungkin dilakukan. Routine yang dapat digunakan
antara lain document.write(cleanSearchString(‘<>’)). Dengan menggunakan “) +”

12
untuk menghindari rutin tersebut dan penggunaan karakter alternatif “\x3c” (<) dan
“\x3e” (>), maka penyerang tetap dapat melakukan injeksi kode.
Teknik lain adalah dengan membuat aplikasi yang memfilter kode yang
diinjeksikan dengan comment. Jika pada input terdapat <script>code</code> maka
halaman yang dihasilkan adalah seperti berikut.

<COMMENT>
<script>code</script>
</COMMENT>

Penyerang dapat menghindari dengan menambahkan kode <COMMENT>

dan </COMMENT> diantara kode yang ia injeksikan sehingga filter dapat dilewati.
Jika input <script></COMMENT><script><code></script><COMMENT> maka
halaman yang dihasilkan adalah sebagai berikut.

<COMMENT>
<script>
</COMMENT>
<script>code</script>
<COMMENT>
</COMMENT>

Kode tetap dapat diinjeksikan!

2.2 Informasi Yang Diterbitkan Penyedia Layanan

Pengecekan ini dilakukan ketika penyerang bertujuan untuk melakukan

penyalahguanaan informasi pengguna. Seperti telah disebutkan sebelumnya,
informasi yang sering diperiksa adalah cookie. Penyerang dapat melakukan ini
dengan terlebih dahulu mendaftar sebagai salah satu pengguna. Penyerang akan

13
memeriksa informasi apa yang terdapat pada cookie tersebut. Apakah cookie tersebut
dapat digunakan untuk mengelabuhi server.
Tidak semua proses eksploitasi ditujukan pada penyalahgunaan informasi
pengguna. Terdapat juga tipe eksploitasi yang ditujukan untuk “mengubah” isi dari
informasi atau iklan yang ditampilkan. Tipe eksploitasi seperti ini tidak
membutuhkan penyediaan informasi, seperti cookie.

2.3 Link Dalam Cross Site Scripting

Bagian ini sangat menarik karena mencakup aspek social engineering. Cross
site scripting merupakan lubang yang timbul akibat ketidakmampuan server untuk
mengecek input yang diberikan pengguna. Jadi titik berat keberhasilan eksploitasi
kelemahan ini terletak pada pengguna. Bagaimana membujuk pengguna untuk
mengklik link yang disediakan oleh penyerang. Link ini biasa diletakkan pada e-mail,
message board, dan lain lainnya.
Untuk menghindari pemfilteran, penyerang perlu untuk mengkodekan link
yang ia buat ke bentuk yang akan terlihat aneh bagi pengguna. Pengkodean biasanya
menggunakan HTML Escape encoding yang menggunakan karakter yang telah
terkodekan seperti ditunjukkan pada Tabel 2. Jika kode yang akan disertakan dalam
link cukup panjang, pengguna akan curiga dan mengurungkan niatnya (walau sebaik
apapun social engineering yang dilakukan).
Untuk mengkamuflasekan link ini, penyerang menggunakan nama lain yang
lebih menarik daripada langsung meletakkan link tersebut. Alih-alih meletakkan link
http://trustedsite.org/page1?name=%3cscript%3esomecode%3c/script%3e, akan lebih
baik membuat link dengan nama click me yang merujuk pada link yang sama.
Walaupan link yang sebenarnya akan terlihat pada bagian bawah kiri dari browser,
pengguna pada umumnya kurang memperhatikan kejanggalan yang ada dan langsung
mengklik link tersebut.

14
 Cara lain untuk memastikan bahwa link tersebut akan dijalankan adalah
dengan menggunakan perintah onmouseover. Dengan menggunakan perintah ini, link
beserta kode yang terdapat didalamnya dapat dijalankan ketika cursor bersada diatas
link tersebut. Dengan cara ini, persentase keberhasilan cross site scripting terjadi
semakin besar.

2.4 Pencurian Data

Pencurian data dengan menggunakan informasi yang diperoleh seperti cookie

ditujukan pada penyalahgunaan informasi pengguna. Cookie yang dihasilkan
penyedia layanan berisi informasi yang bermacam – macam. Jika informasi ini
berhasil didapakan maka penyalahgunaan dapat terjadi. Cookie, tipe berbeda,
digunakan sebagai alat identifikasi selama session berlangsung (session berlangsung
ketika pengguna log-in sampai pengguna log-out). Jika penyerang berhasil
mendapatkan cookie seorang pengguna selama session berlangsung, penyerang bisa
mendapatkan akses sebagai pengguna hanya dengan mengubah cookie yang ia
gunakan dengan cookie yang ia dapatkan dari korban.
Hal lain yang terpenting ketika pencurian dilakukan adalah kesan yang
diberikan pada korban. Sering kali halaman web menampilkan broken link ketika
eksploitasi dilakukan. Untuk menghindari kecurigaan korban, biasanya penyerang
membuat script yang akan menampilkan halaman yang diminta.

2.5 Apa Yang Cross Site Scripting Dapat Lakukan?

Pengubahan informasi yang disediakan atau iklan yang ditampilkan penyedia

layanan. Gambar 6 menunjukkan hal tersebut.

15
 Gambar 6. Pengubahan informasi memanfaatkan cross site scripting [3]

Link yang digunakan oleh penyerang berisi kode yang menampilkan halaman
dengan kerangka yang berasal dari site asli namun dengan isi sesuai dengan yang
diinginkan penyerang.

16
BAB III

PENCEGAHAN CROSS SITE

SCRIPTING

Pencegahan seperti kata pepatah lebih baik daripada pengobatan. Pencegahan

cross site scripting sebenarnya merupakan bagian dari proses perancangan sistem
yang akan diluncurkan oleh penyedia data. Jika sistem tersebut menggunakan
teknologi dynamic web page, berbagai pertimbangan perlu dilakukan.

3.1 Teknologi Static Web Page

Cara terbaik dan efektif untuk menghindari terjadinya cross site scripting
adalah menghindari penggunaan teknologi dynamic web page. Halaman yang statis
tentu saja memberikan kontrol yang lebih di sisi server dibandingkan dengan halaman
web yang dinamis. Halaman web yang dihasilkan secara statis akan memberikan
kelakukan yang lebih pasti dibandingkan halaman web yang dihasilkan secara
dinamis. Konsekuensi yang ditanggung adalah penyedia layanan harus merelakan
sifat interaktif yang mungkin diinginkan.

3.2 Metoda POST

Metoda POST adalah metoda pengirimana data dimana variabel yang

dikirimkan tidak disertakan pada link yang digunakan. Metoda POST
menyembunyikan variabel yang dikirimkan dari pengguna. Metoda ini menjamin
kode tidak dapat diinjeksikan melalui link yang telah didesain oleh penyerang. Link

17
merupakan satu satunya cara yang dapat digunakan oleh penyerang untuk
mengeksploitasi cross site scripting. Oleh karena itu, metoda ini ampuh untuk
mengatasi cross site scripting.
Kekurangan metoda ini, pengguna tidak dapat menyimpan link favorit untuk
mempermudah navigasi.
Gambar 7 menunjukkan halaman web yang dihasilkan dengan menggunakan
metoda post. Halaman web yang berisi form dan file helo.asp diambil dari contoh
bagian 2.2. Perubahan dilakukakan agar transfer data dilakukan dengan methoda
POST.

Gambar 7. Halaman web yang dihasilkan menggunakan metoda POST (Perhatikan

link pada field address. Link tidak mengikutsertakan query )

18
3.3 Pengkodekan Karakter Special Pada Link

Untuk men-non aktifkan kode script yang diinjeksikan, kita perlu membuat
aplikasi yang mampu mengkodekan karakter tersebut, sehingga karakter tersebut
tidak dapat dimengerti oleh browser yang digunakan. Proses pengkodean juga harus
mencakup HTML escape code (%hexnumber). Gambar berikut menunjukkan web
dengan proses pengkodean yang baik. Link yang dimasukkan pada field address dari
browser adalah:
http://friendster.com/user.php?uid=<script%20language="JavaScript">alert('Ho%20h
o%20ho'')</script>.

Gambar 8. Pengkodean pada friendster.com

Penggalan soure code dari halaman yang dihasilkan oleh server berikut,
menunjukkan pengkodean yang dilakukan oleh penyedia layanan friendster beta.

<div class="error">

19
 <h1>Invalid User ID</h1>Error Invalid User ID
(&lt;script language="JavaScript"&gt;alert('Ho ho ho'')&lt;/script&gt;).
</div>
<div><p class="buttonbox"><a class="submitbutton"
href="/home.php">Home</a></p></div>

Proses pengkodean diatas mengunakan format UTF-8 untuk mengkodekan

karakter spesial. Pada contoh penggalan kode diatas ‘<’ dikodekan menjadi &ltd an
‘>’ dikodekan menjadi &gt. Dengan pengkoden tersebut script yang ada tidak akan
dijalankan.
Rutin sederhana yang dapat melakukan proses pengkodean diatas adalah
Server.HTMLEncode(string). Berikut ditampilkan perbaikan halaman web yang
menjadi contoh pada bagian 2.2. Source file helo.asp yang telah mengalami
perbaikan ditunjukkan pada bagian berikut.

<HTML>
<BODY>
<%
response.write "Selamat datang "
response.write server.htmlencode(request.querystring("username"))
%>
</BODY>
</HTML>

Source file dari halaman web dinamis yang dihasilkan server

(http://et1/helo.asp?username=%3Cscript%3Ealert%28%27Ho+ho+ho%27%29%3C
%2Fscript%3E).

<HTML>
<BODY>
Selamat datang &lt;script&gt;alert('Ho ho ho')&lt;/script&gt;

20
 </BODY>
</HTML>

Gambar 9. Pengkodean yang berhasil dilakukan pada injeksi script

3.4 Hilangkan Kemampuan Scripting

Cross site scripting disebabkan keberhasilan penyerang menginjeksi kode

pada halaman web yang dihasilkan. Jika kode yang diinjeksikan tersebut tidak dapat
diinterpretasikan, halaman web dapat ditampilkan dengan aman. Kekurangan metoda
ini tentu saja kegagalan fungsi-fungsi yang ditulis dengan mengunakan script untuk
bekerja.

21
3.5 HTTP-Only Cookie

Metoda ini membatasi akses yang dapat dilakukan terhadap cookie. Dengan
menggunakan HTTP-only cookie, browser pengguna masih dapat menerima cookie
yang dikirimkan oleh penyedia layanan. Namun cookie tidak dapat diakses melalui
script yang dieksekusi pada browser pengguna. Jadi script yang diinjeksikan kepada
browser pengguna tidak akan dapat melakukan transfer cookie yang ada.
Metoda ini tersedia pada browser Internet Explorer 6 Service Pack 1. Untuk
menggunakan metoda, pada kepala HTTP response tambahkan atribut HttpOnly.

3.6 Ikuti Link Utama

Metoda ini ditujukan bagi pengguna layanan yang menggunakan halaman

web dinamis. Kebiasaan yang baik utuk mengikuti link yang berasal dari link utama
yang disediakan oleh penyedia layanan. Link – link selain daripada link utama
sebaiknya dihindari.

22
BAB IV

KESIMPULAN

Cross site scripting merupakan kelemahan yang dapat dieksploitasi dengan

mudah. Pemilihan metoda pencegahan disesuiakan dengan kebutuhan dari penyedia
layanan yang ada. Yang terpenting, penyedia layanan mampu menjamin keamanan
data dari pengguna yang ada. Pengguna sebagai konsumen harus lebih waspada
dalam melakukan proses browsing. Selain itu pengguna juga harus proaktif, mencari
informasi lebih lanjut mengenai sistem keamanan dari penyedia layanan yang akan
atau sedang ia gunakan.
Tindakan perbaikan terhadap sistem yang berjalan sebaiknya tidak terjadi. Hal
ini hanya akan membawa kerugian baik bagi pengguna maupun penyedia layanan.

23
REFERENSI

[1] Kurniawan, Andy. Agustus 2001. Belajar Sendiri Microsoft Active Server Pages.
PT Elex Media Komputindo. Jakarta.

[2] http://msdn.microsoft.com/workshop/author/dhtml/httponly_cookies.asp.
Mitigating Cross-site Scripting With HTTP-only Cookies.

[3] Ollman, Gunter. 2003 . HTML Code Injection and Cross-site scripting,
Understanding the cause and effect of CSS (XSS) Vulnerabilities. ISS Advisor.

[4] Pohan, Husni I. Beta, Sidik. Agustus 2003. Pemrograman WEB dengan HTML.
Penerbit Informatika Bandung

24