Reflected XSS (Non-Persistent)
Reflected XSS (Cross-Site Scripting) adalah jenis serangan keamanan yang memungkinkan penyerang untuk menyuntikkan kode berbahaya ke dalam halaman web yang sah, tetapi kode tersebut tidak disimpan di server web. Sebaliknya, kode tersebut dikirimkan kembali ke pengguna melalui URL atau formulir.
Cara Kerja Reflected XSS
Contoh Serangan Reflected XSS
Contoh Kode Reflected XSS
http://example.com/search?q=<script>alert('XSS')</script>
Kode di atas adalah contoh kode Reflected XSS yang dapat menyebabkan browser menampilkan pesan "XSS" ketika diakses.
Cara Kerja Reflected XSS
- Penyerang menyuntikkan kode: Penyerang menyuntikkan kode berbahaya ke dalam URL atau formulir di situs web yang sah.
- Kode dikirimkan ke server: Kode berbahaya dikirimkan ke server web melalui URL atau formulir.
- Server mengembalikan kode: Server web mengembalikan kode berbahaya ke pengguna melalui halaman web yang sah.
- Kode dieksekusi oleh browser: Kode berbahaya dieksekusi oleh browser pengguna, sehingga dapat melakukan aksi yang tidak diinginkan.
Contoh Serangan Reflected XSS
- Pencurian data: Penyerang dapat mencuri data pengguna seperti username, password, atau informasi kartu kredit.
- Perubahan password: Penyerang dapat mengubah password pengguna sehingga pengguna tidak dapat mengakses akunnya.
- Instalasi malware: Penyerang dapat menginstal malware pada perangkat pengguna.
- Validasi input: Validasi input pengguna untuk memastikan bahwa input tidak mengandung kode berbahaya.
- Penggunaan karakter escape: Penggunaan karakter escape untuk memastikan bahwa kode tidak dieksekusi oleh browser.
- Penggunaan Content Security Policy (CSP): Penggunaan CSP untuk membatasi kode yang dapat dieksekusi oleh browser.
- Penggunaan HTTPS: Penggunaan HTTPS untuk memastikan bahwa komunikasi antara browser dan server aman.
Contoh Kode Reflected XSS
http://example.com/search?q=<script>alert('XSS')</script>
Kode di atas adalah contoh kode Reflected XSS yang dapat menyebabkan browser menampilkan pesan "XSS" ketika diakses.
