Hanya butuh waktu 5 detik buat attacker bisa menyisipkan kode berbahaya melalui celah keamanan di website perusahaan dengan teknik serangan Cross-site scripting (XSS). Dampaknya bisa berakibat fatal untuk kegiatan bisnis mulai dari pencurian data karyawan hingga manipulasi transaksi bisnis. Jangan biarkan celah XSS merugikan bisnismu. Saatnya mulai kenali lebih dalam tentang bahaya Cross-site scripting dan cara perusahaan bisa mencegahnya dengan simak penjelasan artikel ini.

Apa itu Cross-site scripting  (XSS)?

Cross-site scripting atau XSS adalah salah satu jenis serangan siber yang dilakukan attacker untuk menyuntikkan skrip berbahaya ke dalam halaman web yang sah. Pada akhirnya, Skrip ini dijalankan oleh browser pengguna lain yang kunjungi halaman tersebut.

Jika attacker berhasil menjalankan kode jahat ke dalam halaman web sah, bisa bertindak seperti : 

• Mencuri cookie : Cookie yang telah berisi informasi sensitif seperti sesi login di browser, bisa diakses attacker untuk masuk ke akun.
• Bisa alihkan user ke situs phishing : Kamu akan diarahkan ke situs palsu yang meniru situs asli, tujuannya untuk mencuri informasi login atau data kartu kredit korban.
• Perangkat bisa terinfeksi Malware : Attacker bisa menginstal malware di perangkat tanpa korban sadari.

Mengapa Cross-Site Scripting  Bisa Terjadi?

Ini alasan Cross-site scripting  atau XSS masuk celah keamanan pada aplikasi web perusahaan:

• Input tidak di filter : Jika website tidak menyaring input user dengan benar, attacker dapat memasukkan kode berbahaya ke dalam formulir, komentar, atau field input.
• Ditemukan kerentanan pada framework atau CMS : Jika framework atau CMS rentan diserang XSS, maka website akan rentan terinfeksi.

Cross-site scripting Sangat Berbahaya Untuk Keamanan Aplikasi Website

Serangan Cross-Site Scripting (XSS) bisa memanfaatkan kelemahan sebuah website yang kamu anggap mungkin website resmi dan terpercaya ternyata palsu. Ketika kamu akses website, malware bisa berjalan di perangkat kamu tanpa disadari.

Bukan hanya itu, XSS juga bisa digunakan untuk mengalihkan kamu ke halaman situs palsu yang terlihat mirip dengan situs yang sebenarnya, dan meminta kamu untuk memasukkan data sensitif, seperti nomor kartu kredit atau password.

Cara Ini Bisa Mencegah Perusahaan Di Serangan Cross-site scripting

Perusahaan bisa melakukan mitigasi terhadap ancaman siber terutama Cross-site scripting   dengan melakukan cara berikut: 

1. Validasi dan Sanitasi Input User : 

• Filter input : Lakukan validasi dan filter pada semua input pengguna, seperti komentar, pesan, dan data formulir bisa cegah kode berbahaya.
• Encode output : Pastikan data user di web sudah di-encode dengan benar untuk cegah eksekusi skrip.

1. Lindungi cookie dengan HTTPOnly Cookie : Cookie HTTPOnly tidak bisa di akses JavaScript, jadi lebih sulit buat attacker curi informasi sensitif di web.
2. Sebaiknya terapkan Content Security Policy (CSP) : Hal ini bisa mengontrol sumber daya yang dimuat browser, seperti skrip, style, dan gambar.
3. Update Aplikasi dan Framework secara berkala : Pembaruan sistem penting untuk perbaikan keamanan bantu atasi ancaman XSS.
4. Lakukan Vulnerability Assessment : Pentingnya pengujian keamanan secara teratur untuk identifikasi dan perbaiki kerentanan XSS dengan Platform Vulnerability Assessment melalui link www.helium.sh.