Deteksi dan Pencegahan Kerentanan Cross-Site Scripting (XSS) Stored dan Broken Access Control pada Aplikasi Web kaspedia.web.id.

Bilah Samping Artikel

Diterbitkan: Dec 18, 2025
DOI: https://doi.org/10.36802/jnanaloka.2025.v6-no02-%25p
Kata Kunci:
Keamanan Aplikasi, XSS Stored, Broken Access Control, Pengujian Penetration, Mitigasi Kerentanan

Isi Artikel Utama

Eko Pramono
Universitas AMIKOM Yogyakarta

Abstrak

Keamanan siber adalah komponen krusial dalam siklus hidup pengembangan aplikasi web modern, terutama dalam menangani sejumlah besar data sensitif. Aplikasi web, meskipun didukung oleh teknologi keamanan yang terus maju, tetap menjadi target utama bagi serangan siber yang berevolusi. Penelitian ini berfokus pada analisis dan mitigasi dua ancaman keamanan paling signifikan: Cross-Site Scripting (XSS) Stored dan Broken Access Control (BAC) pada aplikasi web kaspedia.web.id. Kerentanan XSS Stored memungkinkan penyerang menyuntikkan skrip berbahaya secara permanen ke database, yang kemudian dieksekusi tanpa disadari oleh browser pengguna lain. Sementara itu, BAC timbul akibat kegagalan validasi akses yang memadai di sisi server, memungkinkan pengguna yang tidak berwenang untuk mengakses sumber daya atau fungsi yang seharusnya terbatas.


Untuk mengatasi permasalahan ini, penelitian mengadopsi metodologi pengujian penetrasi yang sistematis dan analisis kode statis. Tahap deteksi melibatkan pengujian fungsionalitas aplikasi menggunakan alat bantu khusus untuk mengidentifikasi titik injeksi XSS dan celah otorisasi. Metode pencegahan yang diimplementasikan meliputi input sanitization dan output encoding yang ketat untuk menetralkan payload XSS, serta penerapan mekanisme server-side authorization yang ketat untuk memverifikasi setiap permintaan akses terhadap kebijakan hak pengguna yang ditetapkan.


Hasil penelitian menunjukkan bahwa aplikasi kaspedia.web.id memiliki kerentanan XSS Stored pada modul input data dan kerentanan BAC pada beberapa endpoint manajerial. Setelah intervensi pencegahan diterapkan, kedua jenis kerentanan tersebut berhasil dieliminasi, sehingga secara signifikan meningkatkan postur pertahanan aplikasi.


Kesimpulannya, deteksi proaktif dan penerapan mekanisme pencegahan yang terstruktur, yang menggabungkan validasi input dan kontrol akses berbasis server, adalah upaya yang sangat efektif dalam memperkuat keamanan aplikasi web modern terhadap ancaman XSS Stored dan Broken Access Control. Hal ini memastikan integritas dan kerahasiaan data pengguna.

##plugins.themes.bootstrap3.displayStats.downloads##

##plugins.themes.bootstrap3.displayStats.noStats##

Rincian Artikel

Cara Mengutip
“Deteksi Dan Pencegahan Kerentanan Cross-Site Scripting (XSS) Stored Dan Broken Access Control Pada Aplikasi Web kaspedia.web.Id”. 2025. JNANALOKA 6 (02). https://doi.org/10.36802/jnanaloka.2025.v6-no02-%p.
Terbitan
Vol. 06 No. 02 September Tahun 2025
Bagian
Articles
Creative Commons License

Artikel ini berlisensi Creative Commons Attribution 4.0 International License.

Hak cipta pada setiap artikel adalah milik penulis, dan penulis mengakui bahwa Jnanaloka sebagai pihak yang mempublikasikan pertama kali dengan lisensi Creative Commons Attribution (CC BY)Lisensi ini mengijinkan untuk, Berbagi yakni menyalin dan menyebarluaskan kembali materi ini dalam bentuk atau format apapun; dan Adaptasi yakni menggubah, mengubah, dan membuat turunan dari materi iniuntuk kepentingan apapun, termasuk kepentingan komersial dengan ketentuan Atribusi

Cara Mengutip

“Deteksi Dan Pencegahan Kerentanan Cross-Site Scripting (XSS) Stored Dan Broken Access Control Pada Aplikasi Web kaspedia.web.Id”. 2025. JNANALOKA 6 (02). https://doi.org/10.36802/jnanaloka.2025.v6-no02-%p.

Referensi

B. Riskhan, M. A. Ullah Sheikh, M. S. Hossain, K. Hussain, Z. Zainol, and N. Z. Jhanjh, “Major Vulnerabilities of Web Application in Real World Scenarios and Their Prevention,” 2025 International Conference on Intelligent and Cloud Computing (ICoICC), pp. 1–6, May 2025, doi: https://doi.org/10.1109/icoicc64033.2025.11052016.

M. Nawrocki and J. Kołodziej, “Vulnerabilities of Web Applications: Good Practices and New Trends,” Applied Cybersecurity & Internet Governance, Dec. 2024, doi: https://doi.org/10.60097/acig/199521.

Agustina, None Tamsir Ariyadi, T. Syah, and N. A. Lega, “TEKNIK PENGUJIAN PENETRASI HTTP MENGGUNAKAN TOOLS BURP SUITE PADA KALI LINUX,” STORAGE Jurnal Ilmiah Teknik dan Ilmu Komputer, vol. 4, no. 1, pp. 16–21, Feb. 2025, doi: https://doi.org/10.55123/storage.v4i1.4770.

A. Anas, S. Elgamal, and B. Youssef, “Survey on detecting and preventing web application broken access control attacks,” International Journal of Electrical and Computer Engineering (IJECE), vol. 14, no. 1, pp. 772–781, Feb. 2024, doi: https://doi.org/10.11591/ijece.v14i1.pp772-781.

P. Nagarjun and S. Shakeel, “Cross-site Scripting Research: A Review,” International Journal of Advanced Computer Science and Applications, vol. 11, no. 4, 2020, doi: https://doi.org/10.14569/ijacsa.2020.0110481.

G. Rodríguez-Galán, E. Benavides-Astudillo, D. Nuñez-Agurto, P. Puente-Ponce, S. Cárdenas-Delgado, and M. Loachamín-Valencia, “Strategies and Challenges in Detecting XSS Vulnerabilities Using an Innovative Cookie Collector,” Future Internet, vol. 17, no. 7, p. 284, Jun. 2025, doi: https://doi.org/10.3390/fi17070284.

R. Bohara et al., “A Survey Paper On CROSS-SITE SCRIPTING(XSS),” SSRN Electronic Journal, 2023, doi: https://doi.org/10.2139/ssrn.4345682.

S. Pasini, Gianluca Maragliano, J. Kim, and Paolo Tonella, “XSS Adversarial Attacks Based on Deep Reinforcement Learning: A Replication and Extension Study,” arXiv.org, 2025, doi: https://doi.org/10.48550/arXiv.2502.19095.

Aardwolf Security, “CVE-2025-57424: Stored XSS Vulnerability in MyCourts Web Application Allowing Session Hijacking,” Aardwolf Security Advisory, Sep. 27, 2025. [Online]. Available: https://aardwolfsecurity.com/cve-2025-57424-stored-xss-vulnerability-in-mycourts/

OWASP Foundation, “A01:2021 — Broken Access Control,” OWASP Top 10, 2021. [Online]. Available: https://owasp.org/Top10/A01_2021-Broken_Access_Control/

S. El Hajj Chehade, F. Hantke, and B. Stock, “403 Forbidden? Ethically Evaluating Broken Access Control in the Wild,” 2025 IEEE Symposium on Security and Privacy (SP), pp. 3218–3235, May 2025, doi: https://doi.org/10.1109/sp61157.2025.00252.

S. Qadir, E. Waheed, A. Khanum, and S. Jehan, “Comparative evaluation of approaches & tools for effective security testing of Web applications,” PeerJ Computer Science, vol. 11, p. e2821, Apr. 2025, doi: https://doi.org/10.7717/peerj-cs.2821.

Izabela Kaźmierak, “Comparison of the effectiveness of tools for testing the security of web applications,” Journal of Computer Sciences Institute, vol. 34, pp. 36–43, Mar. 2025, doi: https://doi.org/10.35784/jcsi.6613.

S. El Hajj Chehade, F. Hantke, and B. Stock, “403 Forbidden? Ethically Evaluating Broken Access Control in the Wild,” 2025 IEEE Symposium on Security and Privacy (SP), pp. 3218–3235, May 2025, doi: https://doi.org/10.1109/sp61157.2025.00252.

H. Xie, “A comprehensive review on the application of CVSS 4.0 and deep learning in vulnerability,” Applied and Computational Engineering, vol. 87, no. 1, pp. 234–240, Aug. 2024, doi: https://doi.org/10.54254/2755-2721/87/20241621.

T. Yarphel and D. Rani, “Cross-Site Scripting (XSS) in Web Applications: A Systematic Literature Review,” International Journal of Science and Research Archive, vol. 15, no. 2, art. 1521, 2025. doi: https://doi.org/10.30574/ijsra.2025.15.2.1521

P. Arya, M. Alhanahnah, V.-T. Pham, F. Mohsen, and F. Turkmen, “BACFuzz: Exposing the Silence on Broken Access Control Vulnerabilities in Web Applications,” arXiv (Cornell University), Jul. 2025, doi: https://doi.org/10.48550/arxiv.2507.15984.

A. Anas, S. Elgamal, and B. Youssef, “Survey on detecting and preventing web application broken access control attacks,” International Journal of Electrical and Computer Engineering (IJECE), vol. 14, no. 1, pp. 772–781, Feb. 2024, doi: https://doi.org/10.11591/ijece.v14i1.pp772-781.

Y. Huang, C. Shi, J. Lu, H. Li, H. Meng, and L. Li, “Detecting Broken Object-Level Authorization Vulnerabilities in Database-Backed Applications,” Proceedings of the 2024 on ACM SIGSAC Conference on Computer and Communications Security, pp. 2934–2948, Dec. 2024, doi: https://doi.org/10.1145/3658644.3690227.

S. Pattanayak, M. Bhoyar, and T. Adimulam, “INTERNATIONAL JOURNAL OF RESEARCH CULTURE SOCIETY Unsupervised Learning for Anomaly Detection in Cybersecurity,” Monthly Peer-Reviewed, Refereed, Indexed Journal, no. 8, 2024, doi: https://doi.org/10.2017/IJRCS/202412011.

“View of Access Restricted: A Study of Broken Access Control Vulnerabilities,” Bonviewpress.com, 2025. https://ojs.bonviewpress.com/index.php/AAES/article/view/4016/1315

G. Rodríguez-Galán, E. Benavides-Astudillo, D. Nuñez-Agurto, P. Puente-Ponce, S. Cárdenas-Delgado, and M. Loachamín-Valencia, “Strategies and Challenges in Detecting XSS Vulnerabilities Using an Innovative Cookie Collector,” Future Internet, vol. 17, no. 7, p. 284, Jun. 2025, doi: https://doi.org/10.3390/fi17070284.