Apakah kamu sudah familiar dengar istilah XSS atau Cross-Site Scripting? Kalau kamu sedang belajar tentang keamanan siber, XSS adalah salah satu serangan yang penting banget untuk dipahami. Serangan ini memang tidak sepopuler serangan phishing atau brute force, tapi XSS sangat bisa berdampak merusak, terutama bagi aplikasi web dan data penggunanya.
 

Serangan XSS menjadi teknik attacker menyuntikkan skrip berbahaya ke dalam halaman web, dan ketika skrip itu dijalankan oleh korban, informasi sensitif seperti cookie, token, hingga data login bisa dicuri dengan mudah secara diam-diam. Artikel ini akan bahas 3 jenis serangan XSS yang paling umum dan harus kamu waspadai. Yuk, simak sampai akhir!
 

Kenali 3 Jenis Serangan XSS Berbahaya
 

1. Stored XSS (Persistent XSS)

Dikenal sebagai jenis XSS yang paling berbahaya. Karena skrip berbahaya yang disuntikkan oleh attacker tersimpan permanen di server, misalnya dalam kolom komentar, forum diskusi, atau profil pengguna.

Setiap kali ada user membuka halaman yang mengandung skrip tersebut, secara otomatis skrip dijalankan. Bayangkan kalau ada ratusan pengguna yang terkena — satu celah bisa berdampak besar!

Contoh kasus:
Seorang attacker menulis komentar di sebuah artikel blog yang berisi JavaScript berbahaya. Saat pengunjung lain membaca komentar itu, skrip aktif dan mencuri session cookie mereka.
 

2. Reflected XSS (Non-Persistent XSS)

Reflected XSS dikenal sebagai Jenis serangan yang biasanya terjadi melalui parameter dalam URL yang dimanipulasi. Script tidak disimpan di server, melainkan langsung dipantulkan kembali oleh server kepada pengguna lewat respons halaman web.

Reflected XSS sering dimanfaatkan lewat link phishing. Jadi, korban dikirimi tautan yang sudah disisipi script jahat. Kalau link itu diklik, script langsung aktif di browser mereka.

Contoh kasus:
Seseorang menerima link dari email yang kelihatannya resmi dari sebuah website. Tapi setelah di klik, skrip langsung jalan dan mencuri data pengguna yang sedang login di website itu.
 

3. DOM-based XSS

Jenis XSS ini lebih tricky karena serangannya terjadi di sisi klien, bukan dari server. Skrip berbahaya disuntikkan ke dalam dokumen HTML dan dimanipulasi menggunakan JavaScript DOM (Document Object Model).

DOM-based XSS cenderung lebih sulit dideteksi karena tidak muncul langsung di source code server. Maka dari itu,Pengembang dan penguji keamanan harus benar-benar memahami bagaimana browser memproses elemen DOM agar bisa menghindari celah ini.

Contoh kasus:
Skrip mengambil parameter dari URL dan menampilkannya langsung di halaman tanpa validasi. Jika attacker menyisipkan kode jahat dalam parameter URL, skrip itu bisa berjalan begitu saja di browser korban.
 

Kesimpulan

Meskipun terlihat rumit, serangan XSS masih menjadi ancaman nyata bagi banyak aplikasi web. Dengan mengenal ketiga jenis XSS ini — yaitu Stored, Reflected, dan DOM-based — kamu bisa mulai membangun perlindungan lebih baik terhadap ancaman siber. Kalau kamu ingin belajar praktik langsung bagaimana cara menemukan dan mengeksploitasi celah XSS dengan aman dan etis.
 

🎯 Yuk, daftar sekarang ke Live Class Web Penetration Testing Batch 6 di CyberAcademy.id.
 

➡️Klik di sini untuk daftar Live Class Web Penetration Testing Batch 6