🛡️

Mencegah Serangan Stored XSS pada Aplikasi Web

Apr 15, 2025

Catatan tentang Serangan Stored XSS dan Pencegahannya

Pendahuluan

  • Penjelasan tentang bagaimana seorang hacker dapat mencuri Cookie milik admin.
  • Menggunakan serangan yang disebut Stored XSS (Cross-Site Scripting).
  • Pentingnya memahami konsep ini untuk keamanan aplikasi web.

Apa itu Stored XSS?

  • Definisi sederhana: Teknik yang digunakan hacker untuk mencuri Cookie admin atau user lain.
  • Dengan mencuri Cookie, hacker dapat memalsukan login sebagai admin dan mengakses halaman khusus admin.

Studi Kasus

  • Aplikasi blogging buatan sendiri menggunakan Laravel.
  • Dua user: 1) Malvin (attacker) dan 2) Beyonce (admin).
  • Halaman khusus admin untuk mengelola data blog: admin/manage-blocks.

Demonstrasi Serangan

  1. Akses Halaman Admin: User Malvin tidak dapat mengakses halaman admin (403 Forbidden).
  2. Menggunakan XSS Hunter: Tool gratis untuk membantu melakukan serangan XSS.
    • Memberi notifikasi jika serangan berhasil.
  3. Input Data ke Blog: Malvin membuat blog dengan Payload XSS untuk mencuri Cookie.
  4. Melihat Elemen HTML yang Terinfeksi: Menunjukkan bahwa serangan berhasil.
  5. Mencuri Cookie Admin: Menggunakan XSS Hunter untuk melihat Cookie yang berhasil dicuri.
    • Cookie yang dicuri: csrf token dan laravel session.
  6. Mengakses Halaman Admin: Menggunakan Burp Suite untuk mengubah Cookie dan mencoba mengakses halaman admin.
    • Dengan Cookie admin, status berubah menjadi 200 OK.

Pencegahan Serangan XSS

  • Konfigurasi Akses Cookie: Mengatur Cookie agar tidak dapat diakses melalui JavaScript.
    • Mengubah pengaturan di session.php: httpOnly diatur ke true (default).
    • Menjelaskan bahwa jika diatur ke true, Cookie hanya dapat diakses melalui HTTP protocol, bukan JavaScript.
  • Demonstrasi Ulang Setelah Pencegahan: Mengulangi demonstrasi setelah mengubah pengaturan Cookie.
    • Memastikan tidak ada Cookie yang dapat diakses lagi, sehingga serangan XSS tidak berhasil.

Kesimpulan

  • Mengidentifikasi dampak dari serangan Stored XSS.
  • Pentingnya menerapkan pencegahan untuk melindungi aplikasi dari serangan ini.
  • Penutup dan harapan materi bermanfaat.

Full transcript