Mengenali berbagai macam-macam ancaman tentu akan membuat kita semakin waspada terhadapnya. Kali ini, kita akan membahas salah satu ancaman cyber yang berhubungan dengan JavaScript. Berbeda dengan yang sebelumnya, serangan ini bisa dibilang unik karena menargetkan user lain yang terkena script berbahaya ini. Yap, serangan tersebut adalah XSS atau Cross-Site Scripting. Oke, biar lebih paham, mari kita simak bersama!
Apa Itu Cross-Site Scripting?
Cross-Site Scripting (juga dikenal sebagai XSS) adalah kerentanan keamanan web yang memungkinkan penyerang untuk mengkompromikan interaksi yang dimiliki pengguna dengan aplikasi yang rentan. Ini memungkinkan penyerang untuk menghindari kebijakan asal yang sama, yang dirancang untuk memisahkan situs web yang berbeda satu sama lain. Kerentanan skrip lintas situs biasanya memungkinkan penyerang menyamar sebagai pengguna korban, melakukan tindakan apa pun yang dapat dilakukan pengguna, dan mengakses data pengguna mana pun. Jika pengguna korban memiliki akses istimewa di dalam aplikasi, maka penyerang mungkin dapat memperoleh kendali penuh atas semua fungsionalitas dan data aplikasi.
Penyerang dapat menggunakan XSS untuk mengirim skrip berbahaya ke pengguna yang tidak curiga. Peramban pengguna akhir tidak memiliki cara untuk mengetahui bahwa skrip tidak boleh dipercaya, dan akan mengeksekusi skrip. Karena menganggap skrip berasal dari sumber tepercaya, skrip berbahaya dapat mengakses cookie, token sesi, atau informasi sensitif lainnya yang disimpan oleh browser dan digunakan dengan situs tersebut. Script ini bahkan dapat menulis ulang konten halaman HTML.
Forum, kolom komentar, dan message input biasanya digunakan oleh penyerang untuk memposting link untuk membuat skrip berbahaya. Skrip tersebut kemudian akan menyerang ketika korban yang mengklik tautan tersebut. Cross-Site Scripting ini sering digunakan untuk mencuri session cookies, yang memungkinkan penyerang untuk menyamar sebagai korban. Dengan cara inilah, penyerang bisa mengetahui data-data sensitif milik korban.
image sources from istock and google
content sources from portswigger, owasp, and logique
Comments
Post a Comment