-->
Home bug bounty Ethical Hacking Tutorial Web Security xss

Tutorial XSS untuk Pemula: Cara Memunculkan Popup Alert di Website (Reflected XSS)

By 8:10 AM Add Comment Edit
⚠️ DISCLAIMER: Artikel ini dibuat semata-mata untuk tujuan edukasi keamanan siber (Ethical Hacking). Dilarang keras menggunakan teknik ini untuk merugikan orang lain. Gunakan hanya pada Lab yang diizinkan.

Jika kemarin kita belajar SQL Injection untuk membobol database, hari ini kita akan mempelajari teknik yang menyerang pengunjung website. Teknik ini bernama XSS (Cross-Site Scripting).

Pernahkah Anda membuka link aneh, lalu tiba-tiba muncul kotak peringatan (popup) atau akun Anda logout sendiri? Bisa jadi itu adalah serangan XSS. Di dunia Bug Bounty, menemukan celah XSS bisa dihargai ratusan hingga ribuan dollar!

Apa Itu XSS (Cross-Site Scripting)?

Secara sederhana, XSS adalah celah keamanan di mana hacker bisa "menitipkan" kode JavaScript berbahaya ke dalam halaman website yang dilihat orang lain.

Bayangkan sebuah papan pengumuman sekolah. Seseorang menempelkan stiker berisi pesan palsu di atas pengumuman asli. Setiap siswa yang membaca papan itu akan tertipu. Itulah analogi XSS.

Target Kita: Memunculkan "Alert Box" 1

Dalam dunia hacking, "Salam Perkenalan" untuk XSS bukanlah "Hello World", melainkan perintah untuk memunculkan kotak peringatan sederhana.

Kode (Payload) legendarisnya adalah:

<script>alert(1)</script>

Tutorial Praktek: Reflected XSS

Agar aman dan legal, kita akan gunakan website latihan resmi testphp.vulnweb.com (Sama seperti lab sebelumnya).

  1. Buka Target: Kunjungi halaman pencarian ini: http://testphp.vulnweb.com/search.php
  2. Analisa: Di sana ada kotak pencarian (Search box). Apapun yang kita ketik, akan ditampilkan ulang di layar (misal: "You searched for: ...").
  3. Suntikkan Payload:
    Ketik kode berikut di kotak pencarian:
    <script>alert('HACKED')</script>
  4. Tekan GO/Search.

Apa yang terjadi?
Jika website tersebut rentan (vulnerable), bukannya menampilkan tulisan script tadi, browser justru akan mengeksekusinya dan memunculkan kotak Popup bertuliskan "HACKED".

✅ BERHASIL! Jika popup muncul, selamat! Anda baru saja melakukan serangan Reflected XSS. Itu artinya website tersebut tidak memfilter input dari pengguna.

Kenapa XSS Berbahaya?

"Cuma muncul popup doang? Apa bahayanya?"

Jangan salah sangka. Popup itu hanyalah bukti (Proof of Concept). Jika seorang hacker jahat yang melakukannya, dia bisa mengubah kode alert() menjadi kode jahat untuk:

  • Mencuri Cookies: Mengambil alih akun korban tanpa password (Session Hijacking).
  • Phishing: Memunculkan form login palsu di website resmi.
  • Keylogger: Merekam apa yang diketik korban.

Cara Mencegah (Untuk Developer)

Kunci mencegah XSS adalah Sanitization dan Encoding. Jangan pernah percaya input user. Ubah karakter berbahaya seperti < dan > menjadi format aman HTML entities (&lt; dan &gt;) sebelum menampilkannya di layar.

Kesimpulan

XSS adalah salah satu kerentanan paling umum di internet. Memahaminya adalah langkah wajib jika Anda ingin mengikuti roadmap menjadi Bug Hunter profesional.

Berlangganan update artikel terbaru via email:

0 Response to "Tutorial XSS untuk Pemula: Cara Memunculkan Popup Alert di Website (Reflected XSS)"

Posting Komentar

Langganan: Posting Komentar (Atom)

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel