Cara Mengatasi Serangan XSS Pada Codeigniter

-

 

 Apa itu XSS?

XSS merupakan singkatan dari cross site scripting.

Alasan singkatan yang digunakan XSS bukan CSS, karena CSS sudah digunakan untuk cascade style sheet.

Jadi X untuk singkatan kata Cross.

XSS merupakan salah satu bentuk serangan pada aplikasi web yang dilakukan dengan menginjeksi kode javascript dari sisi client.

Dampak yang bisa diakbiatkan XSS:

  • Keamanan aplikasi web dapat di-bypass;
  • Data user dapat dicuri;
  • Halaman yang terkena XSS bisa dijadikan media Phising;
  • dan lain-lain.

Cara Mengatasi XSS di Codeigniter

“Untuk menangkap pencuri, kita harus berpikir seperti pencuri”

Mari kita pelajari bagaimana cara melakukan serangan XSS agar bisa menghindarinya.

1. Reflected XSS

Ini adalah jenis serangan XSS yang sering dilakukan attacker.

Biasanya terjadi pada input dari parameter query string yang kita tampilkan.

Contoh:

Misalkan kita punya fitur pencarian seperti ini:

<?php

class Search extends CI_Controller
{
	public function index()
	{
		$data["keyword"] = $this->input->get("keyword");

		// do search and render result to view
		$this->load->view('search', $data);
	}
}

Kemudian pada view, kita menampilkan $keyword yang diinputkan seperti ini:

<p>Hasil pencarian dengan kata kunci <?= $keyword ?></p>
<p>Hasil: ...</p>

Sekilas tidak ada masalah dengan kode ini.

Tapi coba inputkan keyword dengan kode Javascript seperti ini:

index.php/search/?keyword=<script>alert('hacked!')</script>

Maka hasilnya:











Bagaimana cara mengatasi serangan ini?

✅ Solusinya:

Gunakan fungsi htmlentities() pada view untuk menampilkan variabel $keyword.

<p>Hasil pencarian dengan kata kunci <?= htmlentities($keyword) ?></p>
<p>Hasil: ...</p>

Maka sekarang halaman ini tidak akan bisa diserang XSS.



Tapi jangan senang dulu..

Masih ada jenis serangan XSS yang lainnya:

2. Stored XSS

Stored XSS adalah serangan XSS yang dilakukan dengan memasukan injeksi XSS pada input yang disimpan ke database.

Sebenarnya tidak harus database, yang penting input itu disimpan di suatu tempat.

Nantinya, saat ditampilkan di halaman view.. kode injeksi XSS-nya akan dieksekusi.

Contohnya:

Misalkan kita membuat fitur untuk aplikasi lowongan pekerjaan. Input yang kita butuhkan untuk menambahkan lowongan baru sebagai berikut.

  • name nama atau judul lowongan kerja;
  • job_image_url alamat URL poster;
  • job_url alamat pendaftaran lowongan kerja.

Bentuk kode di Controller-nya seperti ini:

📜 controllers/Jobvacancy.php

<?php

class Jobvacancy extends CI_Controller
{
	public function addjob()
	{
		if ($this->input->method() === "post") {
			$data["job"] = $this->input->post();

			// di sini biasanya dilakukan penyimpanan ke database

			return $this->load->view("list_job", $data);
		}

		$this->load->view('add_job_form');
	}
}

berikut ini kode untuk view-nya.

📜 views/list_job.php

<h1><?= $job["name"] ?></h1>
<img src='<?= $job["job_image_url"] ?>' />
<br>

<a href='<?= $job["job_url"] ?>'>Link Pendaftaran</a>

📜 views/add_job_form.php

<form action="" method="post">
	<label for="name">Vacancy Job name</label>
	<input type="text" name="name" >
	<br>
	<label for="job_image_url">Image URL</label>
	<input type="text" name="job_image_url">
	<br>
	<label for="job_url">Job URL</label>
	<input type="text" name="job_url">
	<br>
	<input type="submit" value="Simpan">
</form>

Ini hasilnya saat kita inputkan data yang benar.






Komentar

Posting Komentar

Postingan populer dari blog ini

IP

-
Gambar
  Internet Protocol (IP) Sebuah IP Address adalah produk yang menarik dari teknologi komputer modern yang dirancang untuk memungkinkan satu komputer (atau perangkat digital lainnya) untuk bisa berkomunikasi dengan yang lain melalui Internet. IP Address akan memungkinkan lokasi harfiah dari miliaran perangkat digital yang terhubung ke Internet untuk menunjuk dan membedakan dari perangkat lain. Dalam arti yang nyata sama dengan ketika seseorang perlu alamat anda untuk mengirimkan surat, sehingga komputer remote memerlukan alamat IP Anda untuk berkomunikasi dengan komputer Anda. “IP” singkatan dari Internet Protocol, sehingga alamat IP adalah alamat Internet Protocol. Apa artinya? Internet Protocol adalah seperangkat aturan yang mengatur aktivitas internet dan bisa memfasilitasi untuk penyelesaian berbagai tindakan di World Wide Web. Oleh karena itu alamat Internet Protocol merupakan bagian dari sistematis yang diletakkan pada jaringan yang saling berhubungan yang mengatur k...
Baca selengkapnya

Scala

-
Pengertian   Scala merupakan bahasa pemrograman yang menggabungkan paradigma pemrograman yang berorientasi pada objek dengan fungsional. Bahasa pemrograman ini termasuk dalam bahasa pemrograman berorientasi objek murni yang dalam arti bahwa setiap nilai adalah objek. Serta termasuk bahasa pemrograman fungsional yang artinya setiap fungsi adalah nilai. Sama halnya seperti Java, Scala di tulis untuk dapat dijalankan pada JVM (Java Virtual Machine). Bahasa pemrograman lainnya yang dapat berjalan di JVM seperti Kotlin dan Ceylon. Semua bahasa ini dibuat dengan tujuan menyederhanakan atau membuat Java yang lebih baik. Meskipun dijalankan pada JVM, nyatanya Scala bukanlah perpanjangan dari Java. Ketika proses kompilasi (penyusunan) kode Scala di terjemahkan ke dalam betycode Java dan berjalan di JVM. Scala dapan digunakan dalam berbagai lingkungan, mulai dari script yang sederhana hingga sistem yang besar atau rumit sekalipun dalam dunia pemrograman ini disebut dengan istilah general pur...
Baca selengkapnya

Variabel Dan Tipe Data

-
Gambar
    Memahami Variabel dan Tipe Data dalam Javascript Pengertian Variabel Variabel adalah sebuah nama yang mewakili sebuah nilai. Variabel bisa diisi dengan berbagai macam nilai seperti  string  (teks),  number  (angka), objek, array, dan sebagainya. Cara Membuat Variabel Di JavaScript Cara membuat variabel yang umum digunakan di javascript adalah menggunakan kata kunci  var  lalu diikuti dengan nama variabel dan nilainya. Contoh: var title = "Belajar Pemrograman Javascript" ; Pada contoh di atas, kita membuat variabel bernama  title  dengan nilai berupa teks  (string) :  "Belajar Pemrograman Javascript" . Perhatikan! Pada contoh di atas, kita menggunakan huruf bersar atau kapital untuk nama variabel yang terdiri dari dua suku kata. Kenapa tidak menggunakan  underscore ? Pada Javascript kita dianjurkan menggunakan camelCase dalam penamaan. Boleh-boleh saja menggunakan  snake case  atau  underscore. Hal ters...
Baca selengkapnya