Deskripsi Cross Site Scripting Stored XSS
XSS merupakan kependekan yang digunakan
untuk istilah Cross Site Scripting. XSS
merupakan salah satu jenis serangan injeksi code
(code injection attack). XSS dilakukan oleh
penyerang dengan cara memasukkan kode HTML
atau client script code lainnya ke suatu situs.
Serangan ini akan seolah-olah datang dari situs
tersebut. Akibat serangan ini antara lain
penyerang dapat mem-bypass keamanan di sisi
klien, mendapatkan informasi sensitif, atau
menyimpan aplikasi berbahaya. Alasan
kependekan yang digunakan XSS bukan CSS
karena CSS sudah digunakan untuk cascade style
sheet.
Tipe XSS
 Reflected atau nonpersistent
 Stored atau persistent
Reflected XSS
Reflected XSS merupakan tipe XSS yang paling
umum dan yang paling mudah dilakukan oleh
penyerang. Penyerang menggunakan social
engineering agar tautan dengan kode berbahaya
ini diklik oleh pengguna. Dengan cara ini
penyerang bisa mendapatkan cookie pengguna
yang bisa digunakan selanjutnya untuk
membajak session pengguna.
Mekanisme pertahanan menghadapi serangan ini
adalah dengan melakukan validasi input sebelum
menampilkan data apapun yang di-generate oleh
pengguna. Jangan percayai apapun data yang
dikirim oleh pengguna.
Stored XSS lebih jarang ditemui dan dampak
serangannya lebih besar. Sebuah serangan
stored XSS dapat berakibat pada seluruh
pengguna. Stored XSS terjadi saat pengguna
diizinkan untuk memasukkan data yang akan
ditampilkan kembali. Contohnya adalah
pada message board, buku tamu, dll. Penyerang
memasukkan kode HTML atau client script
code lainnya pada posting mereka.
Serangan ini lebih menakutkan. Mekanisme
pertahanannya sama dengan reflected XSS: jika
pengguna diizinkan untuk memasukkan data,
lakukan validasi sebelum disimpan pada aplikasi.
Contoh penyerangan menggunakan XSS
(Nama – nama dibawah ini hanya merupakan
karangan belaka) :
1. Toni sering mengunjungi website Jack, yang di
website tersebut memungkinkan Toni untuk
memasukan username/password dan menyimpan
data pribadi atau data transaksi yang seharusnya
tidak boleh diketahui orang lain.
2. Rey mengetahui bahwa Toni sering
mengunjungi web tersebut, dan lalu mengamati
jika di website buatan Jack terdapat kerentanan
atau celah yang bisa diserang menggunakan
XSS.
3. Rey lalu meng-ekplore dan mencoba mencari
celahnya dan membuat script berbahaya dan
kemudian di embed atau dimasukan ke dalam
sbuah URL.
4. Rey lalu mengirim email ke Toni yang berisi link
ke halaman web Jack yang sebenarnya urlnya
sudah di embed script yang berbahaya tersebut.
5. Ketika Toni click URL tersebut maka Toni akan
masuk ke dalam website Jack serta script yang
sudah Rey buat akan dijalankan, sehingga Rey
bisa mengmbil data dari cookies-nya dan bisa
memanfaatkanya.
Deskripsi XSS dalam Network
Skema popular dalam hal pencurian cookies pada
jaringan Internet menjadi bagian dalam
kerawanan serangan XSS (Cross-Site Scripting).
Sekali cookie didapatkan, penyerang aktif dapat
mencuri isi dalam cookie, mengarahkan browser
pada aplikasi-aplikasi berbasis web (e-mail) dan
dapat mengakses account tanpa perlu
menghabiskan waktu untuk melakukan cracking
untuk mencari kombinasi username & password
yang cocok. Hal ini membawa implikasi yang
buruk tergantung dengan aplikasi yang sedang
dibuka :penyerang dapat membaca surat-surat
korbannya, mengakses account di bank dan
menulis check untuk melakukan pembayaran
secara online atau membeli barang menggunakan
cached retail credit information pada situs seperti :
Amazon & eBay. Untuk dapat melakukan hal ini,
seorang penyerang harus mendapatkan sesi
pengguna yang masih dalam kondisi aktif. Untuk
itu seorang penyerang yang potensial akan
memerlukan lubang otorisasi akses pada XSS
dan  CGI pada web server.
Cross Site Scripting
Cross-Site Scripting atau yang lebih dikenal
dengan sebutan XSS merupakan salah satu
metode yang di gunakan para attacker untuk
menyuntikan kode HTM atau Javascript kedalam
sebuah halaman web yang vulnirable terhadap
XSS. XSS di bagi menjadi dua, Non Persistent
dan Persistent. Xss Non Persistent merupakan
tipe XSS yang paling umum dan yang paling
mudah dilakukan. Attacker menggunakan social
engineering agar tautan dengan kode berbahaya
ini diklik oleh pengguna. sedangkan XSS
Persistent ini merupakan tipe XSS yang lebih
berbahaya, yang dapat berakibat pada seluruh
pengguna. XSS ini terjadi saat pengguna diizinkan
untuk memasukkan data yang akan ditampilkan
kembali. Contohnya adalah pada komentar, buku
tamu, dll. Attacker memasukkan kode HTML atau
Javascript atau code lainnya pada posting
mereka. Dengan cara ini attacker bisa
mendapatkan cookie pengguna yang bisa
digunakan selanjutnya untuk membajak session
pengguna.
Kerawanan terhadap serangan  XSS disebabkan
oleh buruknya mekanisme validasi input user
sebelum diserahkan kepada sistem klien. Cross-
Site mengacu pada daerah aman dimana user
menyimpan data ( seperti cookies, atribut konten
dinamis, dsb) yang berhubungan dengan situs
web. Dalam Cross Site Scripting, aplikasi web
target diinfeksi dengan menambahkan link baru
yang tidak disadari oleh pengembang aplikasi.
Dalam link baru tersebut, terdapat rangkaian script
program yang digunakan untuk mengakses
informasi yang berkaitan dengan web tersebut.
Semua serangan XSS tidak akan mengambil 
akses root ataupun system dalam server web,
serangan ini hanya berusaha mendapatkan
informasi yang berkaitan dengan aplikasi web
yang digunakan.
Sebagai contoh sederhana dari XSS, dapat
digambarkan adanya sebuah buku tamu tempat
banyak orang dapat berdiskusi tentang tanggapan
mereka terhadap sebuah situs. Pada situs tertentu
juga menyediakan akses penggunaan tag HTML.
Dengan HTML, sebuah script bahasa program
dan browser yang merupakan interpreter untuk
scrip tersebut, komentar pada buku tamu dapat
disisipi script program tentang apapun, tanpa
disadari oleh pengguna lainnya. XSS hadir
karena  pembangunan sebuah situs web yang
kurang baik. Keindahan desain dan isi dari situs
web mengabaikan faktor keamanan dari situs
tersebut. Validasi atas broken link atau input yang
diberikan oleh user, seperti pada buku tamu di
atas menjadi hal yang paling sering dilupakan,
dan memberikan kesempatan adanya penyisipkan
kode curang dari sang penyerang. Jadi secara
singkat dapat dijelaskan proses penyerangan XSS
sebagai berikut :
1. Penyerang melakukan investigasi
pada situs-situs dimana diperlukan
hak akses tertentu, dan mencuri hak
akses suatu user melalui cookies atau
ID sessions.
2. Penyerang menemukan titik rawan
pada halaman suatu situs.
3. Penyerang menciptakan link khusus
ke suatu situs dan menempelkannya
dalam suatu email HTML yang
dikirimkan ke korban potensial.
4. Link khusus tersebut juga berisi kode
yang didesain khusus untuk
mengirimkan salinan cookie korban ke
penyerang
5. Tanpa sepengtahuan korban,
penyerang mendapatkan informasi
(cookie) milik pengunjung situs target.
6. Dengan memanfaatkan informasi
tersebut, penyerang mengeksploitasi
situs target.
Anatomi Serangan XSS
Sebuah serangan cross site scripting dilakukan
dengan menyediakan alamat khusus yang
dikemas oleh penyerang untuk calon korbannya.
Dalam konteks XSS, penyerang mengundang
korbannya untuk mengeksekusi alamat URL yang
diberikan dan membiarkan korban mengikuti link
tersebut dengan menjalankan script yang
sebelumnya beraksi di komputer klien untuk
mendapatkan informasi yang diinginkannya.
Terdapat tiga hal yang berkait dan dapat disusun
sebagai sebuah anatomi serangan XSS yaitu
penemuan, serangan, dan eksploitasi.
1. Penemuan Titik Rawan Aplikasi
 Serangan XSS berdampak pada
ketidaksempurnaan aplikasi berbasis web dan
bermuasal pada validasi masukan pengguna
(user) yang tidak begitu baik. Hal ini dapat
memungkinkan penyerang menyisipkan kode
HTML tambahan dimana mereka dapat
mengendalikan eksekusi pada halaman tersebut
dibawah izin yang diberikan oleh situs itu sendiri. 
Sebuah contoh sederhana dari halaman yang
dapat digunakan untuk cross site scripting  seperti
dibawah ini :
<?php echo “Hello,
{$HTTP_GET_VARS[‘name’]}!”; ?>
Sekali halaman tersebut dapat terakses, variabel
tersebut dikirim melalui metode GET langsung
menuju halaman yang dituju. Dimana masukan
tidak ditandai sebagai variabel masukan,
pengguna dapat memasukkan beberapa karakter
yang diinterpretasikan sebagai perintah meta
karakter, cukup mirip dengan injeksi SQL. Dengan
memasukkan HTML metacharacter
memungkinkan keluaran yang tidak diinginkan:
Dimana masukan tidak divalidasi terlebih dahulu
sebelum keluaran dikirimkan ke browser klien. Hal
di atas memberikan pengguna untuk
mengendalikan HTML dengan menyisipkan script
ke halaman tersebut.
Beberapa titik dimana biasanya XSS terjadi
adalah pada halaman konfirmasi (seperti mesin
pencari dimana memberikan keluaran dari
masukan pengguna dalam aktvitas pencarian) dan
halaman kesalahan (error page) yang membantu
pengguna dengan mengisi bagian form untuk
memperbaiki kesalahan.
2.  Serangan
Sekali masukan rawan teridentifikasi pada metode
HTTP – yang bergantung pada fasilitas protokol
HTTP, maka aktivitas serangan dapat dilakukan
baik dengan metode GET, POST dan metode
lainnya.
Penyisipan dengan metode GET merupakan cara
termudah juga sering dijumpai. Karena pengguna
cukup banyak mengerti akan adanya pengarahan
ulang (redirection) atau adanya pemanggilan
alamat lain yang tampak pada tabulasi alamat
(address bar). Metode cukup dilihat pada URI dan
biasanya tercatat di server HTTP. Karena karakter
dari XSS, penyerang tidak dapat secara langsung
memanfaatkan kerawanan untuk keuntungan
sendiri. Korban mesti melihat kode yang
disisipkan agar dapat dieksekusi. Dan begitu
korban melihat kode tersebut,  dan mengeksekusi,
informasi tentang si korban dapat diketahui oleh si
penyerang.
Dibanding serangan dengan metode GET, dengan
metode POST sedikit lebih rumit, dimana variabel
POST dikirim secara mandiri dari permintaan URI,
sehingga butuh halaman transisi untuk memaksa
korban mengeksekusi permintaan POST (POST
request) yang berisi kode XSS. Baru-baru ini
metode serangan XSS telah menggunakan
metode TRACE, serangan ini memanfatkan
activeX, dimana informasi tentang user dikirimkan
melalui TRACE request melalui browser klien,
informasi ini juga dapat diubah ke dalam bentuk
XML, sehingga klien dan situs web tersebut tidak
menyadarinya. Metode ini mampu melewati
keamanan HTTP Only.
3.  Eksploitasi
Setelah melakukan serangan,  penyerang dapat
melakukan eksploitasi atas situs web yang
menjadi target. Umumnya dilakukan dengan
membajak sesi koneksi dari korban dan
melakukan aksi seperti layaknya si korban
mengakses situs web target. Kerugian yang
muncul dapat merugikan situs web itu sendiri
ataupun korban. Setelah eksploitasi ini, sesi
serangan XSS dapat dikatakan telah sempurna.

Kesimpulan
Cross Site Scripting sering kali diabaikan dalam
pembangunan situs web, seiring dengan
pemakaian aplikasi web dinamis. Kerawanan yang
timbul justru mengancam hubungan pengguna
dan pemilik situs web.  Metode serangan XSS
yang digunakan juga berkembang seiring dengan
pengembangan protokol aplikasi web, bahasa
yang digunakan juga berkembang. Karenanya
tidak ada jaminan serangan XSS tidak mengalami
perkembangan.

Ada beberapa saran pengamanan yang cukup

efektif, saran tersebut antara lain :

v Para pengembang web, hendaknya melakukan

pengujian untuk tiap halaman yang dibangun, juga
dilakukan pengecekan ulang untuk tiap masukan
dari pengguna, untuk menghindari celah serangan
XSS.

v Para pengguna aplikasi web dinamis,

hendaknya berhati-hati dalam menggunakan
aplikasi web karena enkripsi dan berlapisnya
firewall bukanlah jaminan bahwa aplikasi web
tersebut aman.

Pengertian XSS Beserta Cara Kerja dan
Cara Mencegahnya, Yuk Disimak!
 Fakhri Aziz Firmansyah  Oktober 8, 2019
Dewasa ini perkembangan dalam
teknologi pembuatan dan pemanfaatan
website semakin canggih dengan
banyaknya ide – ide baru yang
dikembangkan. Namun mengikuti hal itu
istilah cyber crime atau kriminalitas
dalam dunia cyber (internet) juga
semakin marak.
Salah satunya adalah dengan
keberadaannya XSS atau Cross Site
Scripting. Sebelum menjelaskan
pengertiannya pasti para pembaca
bertanya – tanya mengapa menggunakan
“X” untuk Cross bukannya “C”. Hal ini
dikarenakan penggunaan CSS sudah ada
untuk Cascade Style Sheet yang juga
salah satu bagian dari dunia web
programming.
Demi menghindari bahaya XSS bagi para
developer web atau sebagai referensi
tambahan maka artikel ini kami tulis
sebagai bahan baca tambahan.
Langsung saja ulasan lengkap mengenai
pengertian XSS beserta cara kerja dan
cara mencegahnya dapat anda simak
dibawah ini:
Pengertian XSS
Sesuai namanya XSS atau yang
merupakan singkatan dari Cross Site
Scripting merupakan salah satu bentuk
gangguan berupa Code Injection Attack
atau serangan injeksi kode.
Penyerang yang merupakan orang luar
menyisipkan code – code berbahaya
yang biasanya berbentuk Javascript,
VBScript atau bahkan client script code.
Maksud dari client script code adalah
suatu halaman dari web yang ditujukan
pada penggunaan user atau client.
Hal ini dikarenakan memang tujuan
utama dari penggunaan XSS adalah
untuk mengambil data penting,
mengambil cookie dari user atau
mengirimkan suatu program yang dapat
merusak user namun seakan – akan
penyebabnya adalah dari web itu
sendiri.
Oleh karena itu meskipun terkesan
sepele XSS ini sangatlah dikeluhkan
oleh para developer web atau aplikasi
yang akan mempublish hasil projectnya.
Ketika keamanan mereka berhasil
dibobol dan XSS sudah disusupkan maka
akan sangat sulit diatasi dan lebih
merepotkan lagi ketika sudah banyak
diakses oleh banyak user. User sebagai
pihak awam yang paling terkena
dampaknya pasti menganggap pihak
developer lah yang membuat code
berbahaya secara sengaja, padahal itu
adalah ulah orang luar dengan XSS-nya.
Cara Kerja XSS
Setelah memahami apa yang dimaksud
XSS maka selanjutnya adalah mengerti
cara kerja XSS. Tujuan penulis memberi
ulasan ini bukanlah untuk memberi
pengetahuan cara menyelipkan justru
untuk mengantisipasi ketika dalam
dunia kerja atau sebagai developer anda
menemui hal serupa.
Dalam hal ini penulis menganggap
bahwa pihak penyerang yang
menggunakan XSS ini adalah seorang
hacker karena memang kemampuan
dalam membobol keamanan web
ataupun aplikasi.
Gambaran umum mengenai cara kerja
XSS sebenarnya cukup simpel, oleh
karena itu banyak developer yang juga
menyepelekannya. Namun ketika sudah
dipublish dan kecolongan maka dampak
yang ditimbulkan sangatlah besar, tidak
hanya user bahkan ke server juga.
Pihak hacker atau penyerang terlebih
dahulu berusaha mencari celah
keamanan suatu website.
Contoh simpelnya adalah dalam file
index atau home mereka menyelipkan
“YOUR WEBSITE GOT HACKED” dengan
menggunakan heading 1. Biasanya para
attacker memerluka wadah berupa
halaman dinamis atau berindeks PHP
dan selanjutnya dimasukkan ke dalam
HTML atau Javascript.
Contoh diatas adalah bagian simpelnya,
yang paling berbahaya adalah ketika
attacker mengambil wadah untuk XSS
pada bagian file input seperti form
pendaftaran. Pada script PHP biasanya sasaran maka kemungkinan
menggunakan baris code $_GET untuk terdeteksinya XSS akan semakin sulit.
mengirimkan data yang sudah diisi oleh
Ada bermacam – macam bentuk XSS
pengguna ke database server web
sesuai dengan dampak dan cara kerja
tersebut. Namun ketika XSS disusupkan
yang dilakukan sehingga untuk
maka data yang dikirimkan bisa saja
pencegahannya cukup beragam juga.
diredirect ke server miliknya terlebih
Mulai dari penggunaan
dahulu baru masuk ke server yang
“global_xss_filtering” pada framework
seharusnya. Hal ini dapat dilakukan
CI yang lama namun saat ini sudah
dengan merubah script pada tombol
tidak ada lagi. Mungkin pihak developer
submit atau di code $_GET, lalu
Codeigniter sudah mengetahui bahwa
mengirimkan data ke server milik
permasalahan XSS adalah di output
attacker dan kemudian dicatat dalam
bukan pada inputannya.
databasenya.
Salah satu cara lain untuk mencegah
Tujuannya bisa saja untuk meningkatkan
serangan XSS juga sudah ada dalam
traffic atau backlink ke web yang
fungsi PHP, yakni menggunakan
dimiliki dengan memanfaatkan web yang
htmlspecialchars(), namun untuk
sudah dibobol. Jika data – data penting
melakukan escaping juga tidaklah
yang dimasukkan tentunya dampaknya
cukup. Bisa juga dilakukan dengan cara
akan lebih besar lagi.
memblok semua input yang berupa
Cara Mencegah XSS script tag atau image source. Lakukan
Beberapa tahun yang lalu sempat pengamanan juga terhadap Cpanel anda
berhembus kabar bahwa website milik karena hal ini menjadi kunci utama
salah satu bank terkemuka di Indonesia masuknya XSS.
pernah disusupi XSS sehingga banyak
data – data nasabah yang diambil. Dalam Bisa juga dengan menggunakan suatu

melakukan aksinya para hacker atau aplikasi pengamanan web, salah satu

attacker memang tidak pernah pandang yang penulis rekomendasikan adalah

bulu dalam hal memilih web mana yang aplikasi Acunetix. Penggunaan Acunetix

akan dijadikan target. Dan karena ini diibaratkan seperti White Hacker

semakin besar website yang dijadikan yang mampu melindungi keamanan web
dengan cukup signifikan.
Perlu waktu yang cukup lama memang
untuk melakukan scan terhadap
keamanan website jika menggunakan
Acunetix namun hasil yang diberikan
juga cukup besar. Tidak hanya XSS saja,
Acunetix dapat mendeteksi adanya SQL
Injection, PHP Injection, Cross Frame
Sripting (XFS), URL Redirection,
pengecekan terhadap file dalam server
dan masih banyak lagi.
Itulah pengertian XSS beserta cara kerja
dan cara mencegah agar serangan XSS
ini tidak membobol keamanan web
ataupun aplikasi anda. Semoga
bermanfaat dan mudah dipahami!