Cross Site Scripting (XSS) merupakan salah satu kerentanan yang sering ditemukan pada aplikasi atau website akibat adanya injeksi kode berbahaya ke dalam aplikasi. Kerentanan ini biasanya terjadi ketika aplikasi menampilkan input pengguna ke dalam halaman web tanpa proses validasi atau penyaringan yang memadai.
Melalui celah ini, penyerang dapat menyisipkan script berbahaya yang kemudian dijalankan oleh browser pengguna lain ketika mereka mengakses halaman tersebut. Browser tidak dapat membedakan apakah kode tersebut berasal dari pemilik aplikasi atau dari pihak penyerang. Akibatnya, penyerang dapat mencuri informasi sensitif seperti cookies, session token, maupun data pengguna lainnya.
Selain itu, kerentanan Cross Site Scripting juga dapat menyebabkan perubahan pada tampilan atau kode HTML halaman web yang dapat berujung pada defacement (perubahan tampilan) pada website.
Beberapa jenis Cross Site Scripting antara lain:
- Reflected Cross Site Scripting
- Stored Cross Site Scripting
- DOM-Based Cross Site Scripting
Beberapa platform besar yang pernah menjadi korban eksploitasi kerentanan Cross Site Scripting di antaranya:
- PayPal
- OLX
- WordPress
- Imgur
- Shopify
- Zomato
- dan lainnya.
Untuk mencegah terjadinya Cross Site Scripting, pengembang aplikasi perlu menerapkan validasi input, penyaringan (filtering), serta encoding terhadap seluruh data yang dikirimkan oleh pengguna sebelum ditampilkan kembali pada halaman web.
Sumber: CSIRT Pangkalpinang – https://csirt.pangkalpinangkota.go.id