XSS (Cross-Site Scripting) adalah jenis kerentanan keamanan web yang memungkinkan penyerang untuk menyuntikkan kode berbahaya, biasanya dalam bentuk JavaScript, ke dalam halaman web yang dilihat oleh pengguna lain. Bayangkan sebuah situs web yang seharusnya menampilkan informasi yang aman, malah menampilkan skrip jahat yang mencuri informasi pribadi atau mengalihkan pengguna ke situs web palsu. Itulah yang dilakukan XSS. **Tipe-Tipe XSS:** * **Stored/Persistent XSS:** Serangan ini terjadi ketika kode berbahaya disimpan langsung di database server, misalnya dalam kolom komentar atau postingan forum. Setiap kali pengguna mengunjungi halaman tersebut, skrip berbahaya akan dieksekusi. Ini adalah jenis XSS yang paling berbahaya karena dampaknya berkelanjutan dan dapat memengaruhi banyak pengguna. * **Reflected XSS:** Dalam serangan ini, kode berbahaya disisipkan melalui parameter URL atau formulir yang dikirimkan ke server. Server kemudian mencerminkan kode berbahaya tersebut kembali ke pengguna tanpa melakukan sanitasi yang benar. Pengguna harus mengklik tautan yang dibuat khusus atau mengisi formulir yang berisi kode berbahaya agar serangan ini berhasil. Contohnya, tautan `https://example.com/search?query=` mungkin akan menampilkan pesan "XSS" jika situs web rentan. * **DOM-based XSS:** Kerentanan ini terjadi di sisi klien, di dalam browser pengguna. Kode berbahaya tidak pernah dikirimkan ke server. Sebaliknya, skrip JavaScript yang ada di halaman web memproses data yang berbahaya dan memanipulasi DOM (Document Object Model), menyebabkan kode berbahaya dieksekusi. **Cara Kerja XSS:** 1. Penyerang menemukan titik masuk di sebuah situs web yang memungkinkan data dari pengguna ditampilkan tanpa sanitasi yang benar. 2. Penyerang menyuntikkan kode berbahaya melalui titik masuk tersebut (misalnya, melalui kolom komentar atau parameter URL). 3. Ketika pengguna lain mengunjungi halaman yang terinfeksi, browser mereka mengeksekusi kode berbahaya tersebut. 4. Kode berbahaya dapat melakukan berbagai hal, seperti mencuri cookie sesi, mengalihkan pengguna ke situs web palsu, menampilkan iklan yang tidak diinginkan, atau bahkan mengubah konten halaman web. **Contoh Sederhana:** Bayangkan sebuah situs web yang menampilkan pesan selamat datang berdasarkan nama pengguna yang dimasukkan. Jika situs web tidak melakukan sanitasi, penyerang dapat memasukkan kode JavaScript sebagai nama pengguna, misalnya: ``. Ketika situs web menampilkan pesan selamat datang, kode JavaScript tersebut akan dieksekusi, dan pengguna akan melihat kotak dialog "Hello!". **Mencegah XSS:** * **Sanitasi Input:** Selalu sanitasi semua input dari pengguna sebelum menampilkannya di halaman web. Sanitisasi berarti menghilangkan atau mengenkode karakter-karakter khusus yang dapat disalahgunakan dalam kode JavaScript atau HTML. * **Enkode Output:** Enkode semua output yang ditampilkan di halaman web, terutama jika output tersebut berasal dari input pengguna. Gunakan fungsi encoding yang sesuai untuk konteksnya (misalnya, HTML encoding untuk konten HTML). * **Content Security Policy (CSP):** Implementasikan CSP untuk membatasi sumber daya (skrip, stylesheet, gambar, dll.) yang dapat dimuat oleh browser. CSP memungkinkan Anda untuk menentukan domain mana yang dipercaya untuk menyediakan sumber daya. * **Escaping:** Gunakan teknik escaping yang tepat untuk mencegah karakter-karakter khusus diinterpretasikan sebagai kode. * **Update Perangkat Lunak:** Selalu perbarui perangkat lunak server dan pustaka yang digunakan untuk memastikan Anda memiliki patch keamanan terbaru. XSS adalah ancaman serius yang dapat membahayakan pengguna dan reputasi situs web. Dengan memahami cara kerja XSS dan menerapkan langkah-langkah pencegahan yang tepat, Anda dapat secara signifikan mengurangi risiko kerentanan ini.