Deteksi dan Pencegahan Kerentanan Cross-Site Scripting (XSS) Stored dan Broken Access Control pada Aplikasi Web kaspedia.web.id.
Isi Artikel Utama
Abstrak
Keamanan siber adalah komponen krusial dalam siklus hidup pengembangan aplikasi web modern, terutama dalam menangani sejumlah besar data sensitif. Aplikasi web, meskipun didukung oleh teknologi keamanan yang terus maju, tetap menjadi target utama bagi serangan siber yang berevolusi. Penelitian ini berfokus pada analisis dan mitigasi dua ancaman keamanan paling signifikan: Cross-Site Scripting (XSS) Stored dan Broken Access Control (BAC) pada aplikasi web kaspedia.web.id. Kerentanan XSS Stored memungkinkan penyerang menyuntikkan skrip berbahaya secara permanen ke database, yang kemudian dieksekusi tanpa disadari oleh browser pengguna lain. Sementara itu, BAC timbul akibat kegagalan validasi akses yang memadai di sisi server, memungkinkan pengguna yang tidak berwenang untuk mengakses sumber daya atau fungsi yang seharusnya terbatas.
Untuk mengatasi permasalahan ini, penelitian mengadopsi metodologi pengujian penetrasi yang sistematis dan analisis kode statis. Tahap deteksi melibatkan pengujian fungsionalitas aplikasi menggunakan alat bantu khusus untuk mengidentifikasi titik injeksi XSS dan celah otorisasi. Metode pencegahan yang diimplementasikan meliputi input sanitization dan output encoding yang ketat untuk menetralkan payload XSS, serta penerapan mekanisme server-side authorization yang ketat untuk memverifikasi setiap permintaan akses terhadap kebijakan hak pengguna yang ditetapkan.
Hasil penelitian menunjukkan bahwa aplikasi kaspedia.web.id memiliki kerentanan XSS Stored pada modul input data dan kerentanan BAC pada beberapa endpoint manajerial. Setelah intervensi pencegahan diterapkan, kedua jenis kerentanan tersebut berhasil dieliminasi, sehingga secara signifikan meningkatkan postur pertahanan aplikasi.
Kesimpulannya, deteksi proaktif dan penerapan mekanisme pencegahan yang terstruktur, yang menggabungkan validasi input dan kontrol akses berbasis server, adalah upaya yang sangat efektif dalam memperkuat keamanan aplikasi web modern terhadap ancaman XSS Stored dan Broken Access Control. Hal ini memastikan integritas dan kerahasiaan data pengguna.
##plugins.themes.bootstrap3.displayStats.downloads##
Rincian Artikel
Artikel ini berlisensi Creative Commons Attribution 4.0 International License.
Hak cipta pada setiap artikel adalah milik penulis, dan penulis mengakui bahwa Jnanaloka sebagai pihak yang mempublikasikan pertama kali dengan lisensi Creative Commons Attribution (CC BY). Lisensi ini mengijinkan untuk, Berbagi yakni menyalin dan menyebarluaskan kembali materi ini dalam bentuk atau format apapun; dan Adaptasi yakni menggubah, mengubah, dan membuat turunan dari materi iniuntuk kepentingan apapun, termasuk kepentingan komersial dengan ketentuan Atribusi
Cara Mengutip
Referensi
B. Riskhan, M. A. U. Sheikh, M. S. Hossain, K. Hussain, Z. Zainol, dan N. Z. Jhanjh, “Major vulnerabilities of web application in real world scenarios and their prevention,”in 2025 International Conference on Intelligent and Cloud Computing (ICoICC). IEEE, 2025, pp. 1–6. [Online]. Available: https://doi.org/10.1109/icoicc64033.2025.11052016
M. Nawrocki dan J. Kołodziej, “Vulnerabilities of web applications: Good practices and new trends,” Applied Cybersecurity & Internet Governance, vol. 3, no. 2, pp. 122–143, 2024. [Online]. Available: https://doi.org/10.60097/acig/199521
V. D. Agustina, T. Ariyadi, T. S. Putra, dan A. Lega, “Teknik pengujian penetrasi http menggunakan tools burp suite pada kali linux,” STORAGE: Jurnal Ilmiah Teknik dan Ilmu Komputer, vol. 4, no. 1, pp. 16–21, 2025. [Online]. Available:
https://doi.org/10.55123/storage.v4i1.4770
A. Anas, S. Elgamal, dan B. Youssef, “Survey on detecting and preventing web application broken access control attacks,” International Journal of Electrical and
Computer Engineering (IJECE), vol. 14, no. 1, pp. 772–781, 2024. [Online]. Available: https://doi.org/10.11591/ijece.v14i1.pp772- 781
P. Nagarjun dan S. A. Shaik, “Cross-site scripting research: A review,” International Journal of Advanced Computer Science and Applications, vol. 11, no. 4, 2020. [Online]. Available: https://doi.org/10.14569/ijacsa.2020.0110481
G. Rodríguez-Galán, E. Benavides-Astudillo, D. Nuñez-Agurto, P. Puente-Ponce, S. Cárdenas-Delgado, dan M. Loachamín-Valencia, “Strategies and challenges in detecting xss vulnerabilities using an innovative cookie collector,” Future Internet, vol. 17, no. 7, p. 284, 2025. [Online]. Available: https://doi.org/10.3390/fi17070284
R. Bohara, A. VV, D. J. Jaiswal, M. Nikhil, B. Pandey, U. Raghav et al., “A survey paper on cross-site scripting (xss),” in Proceedings of the International Conference on Innovative Computing & Communication (ICICC), 2022. [Online]. Available:
https://doi.org/10.2139/ssrn.4345682
S. Pasini, G. Maragliano, J. Kim, dan P. Tonella, “Xss adversarial attacks based
on deep reinforcement learning: A replication and extension study,” arXiv preprint arXiv:2502.19095, 2025. [Online]. Available: https://doi.org/10.48550/arXiv.2502.19095 CVE,
“Cve-2025-57424: Xss stored in mycourts application,” 2025, online. [Online]. Available: https://aardwolfsecurity.com/cve-2025-57424-stored-xss-vulnerability-in-mycourt
OWASP, “A01:2021 broken access control,” 2021, online. [Online]. Available: https://owasp.org/Top10/A01_ 2021- Broken_ Access_ Control
S. E. H. Chehade, F. Hantke, dan B. Stock, “403 forbidden? ethically evaluating broken access control in the wild,” in 2025 IEEE Symposium on Security and Privacy (SP). IEEE, 2025, pp. 3218–3235. [Online]. Available: https://doi.org/10.1109/sp61157.2025.00252
S. Qadir, E. Waheed, A. Khanum, dan S. Jehan, “Comparative evaluation of approaches & tools for effective security testing of web applications,” PeerJ Computer Science, vol. 11, p. e2821, 2025.
I. Kaźmierak, “Comparison of the effectiveness of tools for testing the security of web applications,” Journal of Computer Sciences Institute, vol. 34, pp. 36–43, 2025. [Online]. Available: https://doi.org/10.35784/jcsi.6613
H. Xie, “A comprehensive review on the application of cvss 4.0 and deep learning in vulne- rability,” Applied and Computational Engineering, vol. 87, no. 1, pp. 234–240, 2024.
J. Kaur, U. Garg, dan G. Bathla, “Detection of cross-site scripting (xss) attacks using machine learning techniques: a review,” Artificial Intelligence Review, vol. 56, no. 11, pp. 12 725–12 769, 2023.
I. Dharmaadi, M. Alhanahnah, V.-T. Pham, F. Mohsen, dan F. Turkmen,
“Bacfuzz: Exposing the silence on broken access control vulnerabilities in web applications,” arXiv preprint arXiv:2507.15984, 2025. [Online]. Available: https: //doi.org/10.48550/arxiv.2507.15984
Y. Huang, C. Shi, J. Lu, H. Li, H. Meng, dan L. Li, “Detecting broken object-level authorization vulnerabilities in database-backed applications,” in Proceedings of the 2024 on ACM SIGSAC Conference on Computer and Communications Security, 2024, pp. 2934–2948. [Online]. Available: https://doi.org/10.1145/3658644.3690227
P. Kaliyaperumal, S. Periyasamy, M. Thirumalaisamy, B. Balusamy, dan F. Benedetto, “A novel hybrid unsupervised learning approach for enhanced cybersecurity in the iot,” Future Internet, vol. 16, no. 7, p. 253, 2024.