XSS atau Cross-Site Scripting, adalah Big Bos dari penyakit yang menjangkiti aplikasi web di dunia ini namun seringkali diabaikan karena dianggap tidak berbahaya. Benarkah demikian? Kami akan membuktikan kepada Anda bahwa mitos ini ternyata salah besar!. XSS adalah singkatan dari kata Cross-Site Scripting yang artinya script yang dijalankan dengan memanfaatkan perantara. XSS tidak menyerang korban secara langsung namun memanfaatkan perantara untuk melakukannya. Anda percaya dengan Billy dan melakukan apapun yang diperintahkan oleh Billy. XSS menitipkan pesan kepada Billy yang akan disampaikan kepada Anda. Akibatnya adalah Anda melakukan apa yang diperintahkan oleh XSS! Jika selama ini serangan yang dilakukan seringkali menargetkan server, serangan XSS menargetkan client atau pengunjung sebagai sasarannya.Bagaimana Permasalahan XSS itu terjadi?
Permasalahan XSS diakibatkan karena aplikasi server, mengambil dan menampilkan script yang dikirimkan oleh hacker tanpa melakukan encoding atau perubahan sehingga script tersebut akan dijalankan layaknya script yang memang disediakan oleh aplikasi web tersebut. Untuk jelaskan, perhatikan contoh berdasarkan sebuah aplikasi nyata untuk sebuah fungsi search di dalam sebuah website. Ketika kami mencari kata 'Hacker' di dalam website tersebut dan website akan menampilkan informasi bahwa kata 'Hacker', tidak ditemukan ! Perhatikan bahwa kami memasukkan kata 'hacker' dan aplikasi membalasnya dengan menampilkan kembali kata 'Hacker' yag telah kami masukkan. Bagi pengguna awam, kejadian ini bukanlah kejadian yang aneh dan menarik namun bagi security profesional atau hacker (Anda?), kejadian ini sangatlah menarik karena menunjukkan kemungkinan terjadinya serangan XSS! Sekarang, Andaikan kata yang dimasukkan kedalam kotak pencari tersebut adalah sebuah script seperti <script>alert('XSS Bugs');</script>. Apa yang terjadi? Sesuai dengan prosedur standardnya, aplikasi tersebut akan menampilkan kembali kata yang dimasukkan namun permasalahannya adalah browser pengunjung, yang membaca kode yang seharusnya ditampilkan kembali ini, ternyata menganggapnya sebagai perintah untuk menjalankan perintah dalam bahasa javascript sehingga browser menampilkan sebuah kotak pesan "'XSS Bugs'!".
Kini, apa yang terjadi bila script yang dijalankan melakukan aksi yang tidak sepatutnya? Misalnya script yang akan menampilkan cookie, script yang akan membaca ketikan keyboard, script yang akan mencuri data rahasia computer dan mengirimkannya kepada hacker? Hei ini aneh! Bukankah permasalahan ini hanya terjadi pada saya sendiri? Saya memasukkan script dan browser saya pula yang menjalankan script tersebut, lalu dimana ancaman dan bahayanya? Bukankah pekerjaan bodoh bila menyerang diri sendiri? Penjahat memiliki pemikiran yang sangat kreatif, percayalah.
