» » » XSS : Pencegahan
Minggu, 03 Agustus 2014

Hai sobat blogger, setelah kita mempelajari tentang pengenalan dan cara kerja XSS (Cross Site Scripting), kali ini saya akan berbagi ilmu kembali mengenai Pencegahan Cross Site Scripting. Gimana sih caranya ? Yuk mari kita simak :D


Pencegahan seperti kata pepatah lebih baik daripada pengobatan. Pencegahan Cross Site Scripting sebenarnya merupakan bagian dari proses perancangan sistem yang akan diluncurkan oleh penyedia data. Jika sistem tersebut menggunakan teknologi dynamic web page, berbagai pertimbangan perlu dilakukan.

  1. Teknologi Static Web Page

    Cara terbaik dan efektif untuk menghindari terjadinya Cross Site Scripting adalah menghindari penggunaan teknologi dynamic web page. Halaman yang statis tentu saja memberikan kontrol yang lebih di sisi server dibandingkan dengan halaman web yang dinamis. Halaman web yang dihasilkan secara statis akan memberikan kelakuan yang lebih pasti dibandingkan halaman web yang dihasilkan secara dinamis. Konsekuensi yang ditanggung adalah penyedia layanan harus merelakan sifat interaktif yang mungkin diinginkan.

  2. Metode POST

    Metoda POST adalah metoda pengiriman data dimana variabel yang dikirimkan tidak disertakan pada link yang digunakan. Metoda POST menyembunyikan variabel yang dikirimkan dari pengguna. Metoda ini menjamin kode tidak dapat diinjeksikan melalui link yang telah didesain oleh penyerang. Link merupakan satu satunya cara yang dapat digunakan oleh penyerang untuk mengeksploitasi Cross Site Scripting. Oleh karena itu, metoda ini ampuh untuk mengatasi Cross Site Scripting.
    Kekurangan metoda ini, pengguna tidak dapat menyimpan link favorit untuk mempermudah navigasi.

  3. Pengkodean Karakter Special Pada Link 

    Untuk menonaktifkan kode script yang diinjeksikan, kita perlu membuat aplikasi yang mampu mengkodekan karakter tersebut, sehingga karakter tersebut tidak dapat dimengerti oleh browser yang digunakan. Proses pengkodean juga harus mencakup HTML escape code (%hexnumber).

  4. Hilangkan Kemampuan Scripting

    Cross Site Scripting disebabkan keberhasilan penyerang menginjeksi kode pada halaman web yang dihasilkan. Jika kode yang diinjeksikan tersebut tidak dapat diinterpretasikan, halaman web dapat ditampilkan dengan aman. Kekurangan metoda ini tentu saja kegagalan fungsi-fungsi yang ditulis dengan mengunakan script untuk bekerja.

  5. HTTP-Only Cookie

    Metoda ini membatasi akses yang dapat dilakukan terhadap cookie. Dengan menggunakan HTTP-only cookie, browser pengguna masih dapat menerima cookie yang dikirimkan oleh penyedia layanan. Namun cookie tidak dapat diakses melalui script yang dieksekusi pada browser pengguna. Jadi script yang diinjeksikan kepada browser pengguna tidak akan dapat melakukan transfer cookie yang ada.  Metoda ini tersedia pada browser Internet Explorer 6 Service Pack 1. Untuk menggunakan metoda, pada kepala HTTP response tambahkan atribut HttpOnly.

  6. Ikuti Link Utama

    Metoda ini ditujukan bagi pengguna layanan yang menggunakan halaman web dinamis. Kebiasaan yang baik untuk mengikuti link yang berasal dari link utama yang disediakan oleh penyedia layanan. Link – link selain daripada link utama sebaiknya dihindari.
Terima Kasih Sudah Membaca ! Semoga Bermanfaat Untuk Anda :D
Posted by at 22.03
Labels: ,

1 comments:

Jika ada Komentar , Tulis Di Sini

Langganan: Posting Komentar (Atom)