Apa Itu Cross Site Scripting (XSS)?
Masa mula-mula nak taip entri ini, agak pening kepala juga nak terangkan mengenai Cross Site Scripting dalam bahasa melayu dengan penyampaian yang paling mudah! Sebab ianya agak teknikal dan oleh itu Mr.Hac telah membuat beberapa rujukan supaya para pembaca yang baru mengenali dunia IT tidak termanggu-manggu (terkebil-kebil, tak faham) dengan penerangan ini. Anda boleh semak pada pautan LAMAN RUJUKAN di akhir entri. Jika anda membuat carian pada laman Google dengan kata kunci ‘apa itu xss?‘ atau ‘apa itu cross site scripting?‘, anda hanya akan menemui laman berbahasa Indonesia. Mungkin agak sukar untuk difahami, oleh itu Mr.Hac telah mengambil inisiatif untuk membuat entri yang serba ringkas ini.
Cross Site Scripting atau kependekannya XSS ialah satu kaedah serangan menghantar malicious code yang disuntik (inject) pada URL laman web, dengan kelihatan seolah-olah datang dari sumber yang boleh dipercayai integritinya. Melalui cara ini, penggodam akan dapat memperolehi maklumat-maklumat sulit atau peribadi sasaran, juga dapat melancarkan aplikasi berbahaya.
Dengan kata lain, ia adalah kaedah serangan melalui Javascript yang dibuat untuk mengeksploitasi kelemahan (vulnerability) pada sesebuah laman web (boleh faham kan?)
Ini boleh dilakukan dengan Javascript yang dimasukkan pada URL atau melalui penyerahan borang dalam talian (online). Jika Javascript itu dapat dilancarkan pada laman berkenaan, maka ia akan mendapat akses kepada cookies. Jika ia boleh mendapatkan akses kepada cookies, maka penggodam akan mendapatkan akses kepada sesi aktif laman tersebut.
Dengan kata mudah penggodam boleh mengeksploitasi cookies dengan ‘menyamar’ sebagai tuan punya laman untuk mendapatkan akses penuh kepada laman tersebut. Apabila ini berlaku, semua data serta maklumat sulit dan peribadi pada laman akan diperolehi oleh si penggodam. Ini termasuk mereka boleh menukar kata laluan serta pelbagai lagi masalah boleh ditimbulkan mengikut kemahiran penggodam itu tadi.
Para pembina laman web mahupun blog perlu berhati-hati dengan sentiasa membuat tampalan (patch) yang terbaharu serta kalau boleh cari sendiri kelemahan laman web anda dengan melakukan ujian penegangan (penetration test). Jika anda kurang berkemahiran, upahlah rakan yang mahir untuk melakukannya. Adalah lebih baik bersedia dengan sebarang kemungkinan dari mendedahkan maklumat sulit anda kepada pihak luar yang mahukannya. Selain itu sistem sekuriti pada laman anda perlu dibuat dan diselenggara dengan baik supaya laman anda tidak terdedah kepada ancaman serangan seperti ini.
LAMAN RUJUKAN:
1. Fikri.my : Korang Akan Deactivate Facebook Kalau..
2. Wikipedia