XSS Non-Persisten
(Reflected)
XSS Non-Persisten (atau XSS Reflekted) adalah salah satu jenis serangan Cross-Site Scripting (XSS) yang terjadi ketika skrip berbahaya disuntikkan ke dalam aplikasi web melalui parameter URL atau input yang diberikan oleh pengguna dan **langsung dieksekusi pada saat itu juga** tanpa disimpan di server.
Perbedaan antara XSS Persisten dan XSS Non-Persisten:
- XSS Persisten: Skrip berbahaya disimpan di server (misalnya dalam database atau file), dan dieksekusi setiap kali halaman yang terinfeksi dimuat.
- XSS Non-Persisten: Skrip berbahaya hanya dieksekusi sekali, pada saat halaman dimuat, dan tidak disimpan di server. Skrip tersebut biasanya dikirim sebagai bagian dari parameter URL atau input form yang langsung diproses dan dijalankan.
- XSS Persisten: Skrip berbahaya disimpan di server (misalnya dalam database atau file), dan dieksekusi setiap kali halaman yang terinfeksi dimuat.
- XSS Non-Persisten: Skrip berbahaya hanya dieksekusi sekali, pada saat halaman dimuat, dan tidak disimpan di server. Skrip tersebut biasanya dikirim sebagai bagian dari parameter URL atau input form yang langsung diproses dan dijalankan.
Cara Kerja XSS Non-Persisten:
1. Skrip Berbahaya Disuntikkan: Penyerang menyuntikkan skrip berbahaya dalam bentuk parameter URL atau input yang tidak disaring dengan benar oleh aplikasi. Skrip ini bisa berupa JavaScript yang mencuri data pengguna atau melakukan tindakan merusak lainnya.
2. Pengiriman Parameter ke Server: Skrip berbahaya sering kali dimasukkan ke dalam URL atau formulir aplikasi (misalnya, dalam query string atau data POST).
3. Eksekusi Langsung: Ketika aplikasi menerima input tersebut dan langsung menampilkannya tanpa validasi atau sanitasi yang memadai, skrip berbahaya akan langsung dijalankan pada browser pengguna. Skrip ini tidak disimpan di server, jadi hanya eksekusi sekali saat halaman dimuat.
4. Dampak: Serangan ini bisa mencuri data pengguna, memanipulasi tampilan halaman, atau mengarahkan pengguna ke situs berbahaya. Serangan ini biasanya menargetkan individu atau sesi yang dimanipulasi melalui URL atau input yang dimasukkan penyerang.
2. Pengiriman Parameter ke Server: Skrip berbahaya sering kali dimasukkan ke dalam URL atau formulir aplikasi (misalnya, dalam query string atau data POST).
3. Eksekusi Langsung: Ketika aplikasi menerima input tersebut dan langsung menampilkannya tanpa validasi atau sanitasi yang memadai, skrip berbahaya akan langsung dijalankan pada browser pengguna. Skrip ini tidak disimpan di server, jadi hanya eksekusi sekali saat halaman dimuat.
4. Dampak: Serangan ini bisa mencuri data pengguna, memanipulasi tampilan halaman, atau mengarahkan pengguna ke situs berbahaya. Serangan ini biasanya menargetkan individu atau sesi yang dimanipulasi melalui URL atau input yang dimasukkan penyerang.
Contoh Sederhana XSS Non-Persisten:
Misalkan sebuah aplikasi web menerima parameter `search` dari URL untuk menampilkan hasil pencarian, tetapi aplikasi ini tidak menyaring input pengguna dengan benar.
Misalkan sebuah aplikasi web menerima parameter `search` dari URL untuk menampilkan hasil pencarian, tetapi aplikasi ini tidak menyaring input pengguna dengan benar.
URL yang dimasukkan oleh penyerang:
http://example.com/search?query=<script>alert('XSS Non-Persisten!');</script>
Jika aplikasi tidak menyaring atau melakukan escape pada input tersebut, maka saat halaman dimuat, skrip JavaScript `<script>alert('XSS Non-Persisten!');</script>` akan langsung dijalankan, menampilkan pesan peringatan di browser pengguna.
Jika aplikasi tidak menyaring atau melakukan escape pada input tersebut, maka saat halaman dimuat, skrip JavaScript `<script>alert('XSS Non-Persisten!');</script>` akan langsung dijalankan, menampilkan pesan peringatan di browser pengguna.
Dampak dari XSS Non-Persisten:
1. Pencurian Data Sensitif: Skrip JavaScript yang disuntikkan bisa digunakan untuk mencuri data sensitif, seperti cookies atau session ID. Misalnya, penyerang dapat menggunakan JavaScript untuk mengirimkan cookie atau informasi sesi pengguna ke server yang dikelola oleh penyerang.
2. Phishing: Skrip bisa digunakan untuk membuat popup palsu atau menampilkan formulir palsu untuk mencuri kredensial pengguna. Misalnya, penyerang bisa menampilkan form login palsu di halaman yang sepertinya sah.
3. Pengalihan Pengguna: Skrip juga bisa digunakan untuk mengarahkan pengguna ke situs berbahaya, tempat mereka bisa terkena malware atau serangan lebih lanjut.
4. Pemalsuan Konten: Penyerang bisa mengubah tampilan halaman untuk menipu pengguna, misalnya dengan mengganti elemen HTML atau menampilkan pesan yang menyesatkan.
2. Phishing: Skrip bisa digunakan untuk membuat popup palsu atau menampilkan formulir palsu untuk mencuri kredensial pengguna. Misalnya, penyerang bisa menampilkan form login palsu di halaman yang sepertinya sah.
3. Pengalihan Pengguna: Skrip juga bisa digunakan untuk mengarahkan pengguna ke situs berbahaya, tempat mereka bisa terkena malware atau serangan lebih lanjut.
4. Pemalsuan Konten: Penyerang bisa mengubah tampilan halaman untuk menipu pengguna, misalnya dengan mengganti elemen HTML atau menampilkan pesan yang menyesatkan.
Cara Mencegah XSS Non-Persisten :
1. Validasi dan Sanitasi Input: Pastikan untuk memvalidasi dan menyaring semua input yang diterima dari pengguna, baik itu melalui URL, formulir, atau parameter lainnya. Validasi input untuk memastikan hanya data yang diinginkan yang diterima.
2. Escaping Output: Saat menampilkan data pengguna yang diberikan ke halaman web, gunakan teknik escaping untuk mengganti karakter-karakter berbahaya (seperti `<`, `>`, `&`, dll.) menjadi karakter yang aman (misalnya, `<`, `>`, `&`). Ini mencegah eksekusi kode HTML atau JavaScript.
3. Menggunakan HTTPOnly dan Secure Cookies: Menggunakan cookie dengan atribut `HTTPOnly` dan `Secure` dapat membantu mengurangi risiko pencurian sesi menggunakan skrip berbahaya.
4. Content Security Policy (CSP) Terapkan Content Security Policy (CSP) untuk membatasi dari mana skrip dapat dimuat dan dijalankan, sehingga melindungi aplikasi dari eksekusi skrip berbahaya.
5. Penggunaan Framework yang Aman: Banyak framework web modern secara otomatis mengatasi masalah XSS dengan menyaring dan mengescape input/output. Menggunakan framework yang aman adalah cara yang baik untuk mencegah XSS.
Kesimpulan:
XSS Non-Persisten lebih berfokus pada serangan yang terjadi sekali saja setiap kali parameter atau input yang berbahaya diproses oleh aplikasi, tanpa disimpan di server. Meskipun tidak disimpan secara permanen, serangan ini tetap berbahaya karena dapat menyebabkan pencurian data atau manipulasi halaman pada pengguna yang terinfeksi.
