XSS itu merupakan sebuah program serangan yang akan menyerang keamanan dari website dengan menempatkan malicious client end code. Serangan ini akan menimbulkan beberapa kerusakan bahkan pengiriman program ke pengguna yang seolah-oleh berasal dari website.
Serangan XSS ini memang cukup marak terjadi beberapa tahun belakangan ini, dan kebanyakan memang menyerang website yang besar. XSS ini pun merupakan serangan yang tidak mudah dideteksi, sehingga banyak pemilik website atau website developer yang tidak menyadari. Tujuan utama dari serangan XSS adalah untuk mengambil data pribadi dengan cara seperti merusak data atau mengirimkan program.
Serangan XSS ini memang sangat mengganggu sekali beberapa website besar, karena memang sangat sulit untuk melakukan deteksi. Hal ini karena serangan tersebut akan menurunkan kredibilitas dari website dan akan membuat pengguna mereka jadi terancam dan juga tidak nyaman. Apalagi dengan seolah itu dilakukan oleh website itu sendiri, maka akan ada anggapan kalau semua itu dilakukan oleh website.
Setelah sudah mengetahui definisi dari XSS, kalian juga perlu mengetahui dan memahami mengenai bagaimana cara kerja XSS ini. Mengingat betapa berbahayanya serangan XSS ini, maka penting untuk tahu cara kerjanya supaya bisa menghindari serangan tersebut. Berikut ini kami akan coba jelaskan mengenai bagaimana sistem kerja dari serangan XSS yang memang sangat berbahaya.
Tahapan yang pertama adalah penyerang akan memasukkan kode berbahaya ke dalam sebuah website resmi tanpa disadari. Biasanya kode atau program berbahaya tersebut menggunakan script client umum seperti Javascript, ActiveX, VBScript, dan masih banyak yang lainnya. Biasanya penyerang akan menggunakan forum atau juga kolom komentar untuk memasukkan kode berbahaya tersebut.
Tahapan yang kedua XSS adalah korban akan klik code link berbahaya tadi dan kemudian script yang dibuat itu akan mulai dieksekusi. Script tersebut akan menyamar sebagai korban untuk kemudian mengakses data pribadi di website besar itu.
Tahapan yang ketiga script yang seolah-olah adalah korban akan mengirimkan data pribadi tersebut kepada hacker. Sehingga sangat sulit bagi website untuk mendeteksi ini, karena seperti korban yang meminta data pribadi mereka.