Mencegah terjadinya XSS Cross Site Scripting pada Website
Tuesday 2 May 2023
Edit
Mencegah terjadinya XSS Cross Site Scripting pada Website
Kejahatan cyber makin lama makin berkembang dengan pesat tentunya untuk mencegah hal tersebut kita perlu memperhatikan keamanan website yang kita kelola agar bisa mencegah terjadinya serangan dan tidak memberikan celah sedikitpun untuk keamanan website yang kita kelola, kita tidak bisa menilai semua user adalah orang yang awam yang mengikuti rule yang memang sudah diterapkan pada website.
karena ada saja kejahilan user yang di sengaja maupun yang tidak di sengaja untuk melakukan penetrasi pada sistem keamanan website yang telah di buat, salah satunya adalah cross site scripting atau lebih dikenal dengan XSS, apa itu XSS? yaitu sebuah metode penetrasi dengan melakukan penetrasi sistem dengan meng inject code malware baik itu berupa text HTML maupun Javascript yang tentunya merusak sistem atau website yang di buat.
untuk mencegah terjadinya cross site scripting maka anda perlu meningkakan validasi pada form input yang ada di website anda dengan menggunakan fuction htmlentities() agar bisa terhindar dari injection XSS ini. Berikut adalah kode form input yang tidak menggunakan fungsi htmlentities()
<html><head><title>XSS Testing</title></head><body><?php if(isset($_POST['test'])){$a = $_POST['test'];echo $a; } ?><form name="xss" id="xss" method="post"><input type="test" name="test" id="test"><input type="submit" name="kirim" id="kirim" value="kirim"><input type="reset" name="reset" id="reset" value="reset"></form></body></html>
dari kode di atas jika kita inputkan script javascript alert maka kode alert tersebut akan ikut tereksekusi sebagai bagian dari seperti gambar di bawah, pada gambar terdapat input text javascript alert
Setelah itu saat di submit kode javascript alert tersebut di eksekusi dan di anggap sebagai bagian dari code web tersebut padahal code tersebut adalah input dari pengguna (lihat gambar di bawah)
<html><head><title>XSS Testing</title></head><body><?php if(isset($_POST['test'])){$a = htmlentities($_POST['test']);echo $a;} ?><form name="xss" id="xss" method="post"><input type="test" name="test" id="test"><input type="submit" name="kirim" id="kirim" value="kirim"><input type="reset" name="reset" id="reset" value="reset"></form></body></html>
Dari kode di atas bisa silahkan anda perhatikan di bagian variabel $a terdapat fungsi htmlentities() yang berisi value dari post data pada form tersebut, sekarang kita coba jalankan kode tersebut dengan menginputkan kode javascript alert (silahkan lihat gambar di bawah ini)
Ketika kode tersebut di submit maka hasilnya adalah seperti berikut ini
Kode tersebut tidak dieksekusi sebagai bagian dari sebuah halaman web melainkan hanya berupa text yang di input oleh user yang kemudian di deklarasikan sebagain entiti html dan di tampilkan sebagai kode text html bukan sebagai bagian dari kode website tersebut.
dengan penggunaan fungsi htmlentities() bisa mencegah terjadinya serangan XSS (cross site scripting) yang dilakukan olah pengguna / pengunjung di website anda, semoga informasi ini bermanfaat dan bisa menambah wawasan anda terkait cara pencegahan serangan XSS pada website.
Saya juga membuatkan video tentang Mencegah terjadinya XSS Cross Site Scripting pada Website ini agar anda bisa lebih dengan mudah memahami tentang XSS ini
Semoga tulisan ini bermanfaat untuk anda yang membacanya dan memberikan pencerahan tentang apa itu XSS, jika artikel ini bermanfaat jangan sungkan untuk membagikannya.
Selamat Mencoba