HTML Injection dikenal juga sebagai Cross Site Scripting. Merupakan celah keamanan yang memungkinkan bagi penyerang untuk menginjeksi kode HTML ke dalam halaman web yang dilihat oleh pengguna lain.
Si penyerang sering kali menginjeksi file JavaScript, VBScript, ActiveX dan/atau HTML berbahaya ke dalam aplikasi yang memiliki celah untuk menipu pengguna agar dapat mengumpulkan data dari mereka. Celah Cross Site Scripting (XSS) dapat digunakan oleh penyerang untuk melewati kontrol otentikasi dan setelah masuk mereka dapat mengakses ke data sensitif yang ada di dalam sistem. Kode berbahaya yang dibuat dengan sangat baik bahkan bisa membantu penyerang untuk mendapatkan akses ke keseluruhan sistem.
Cara Kerja Serangan HTML Injection
- Pertama penyerang mencari-cari website mana yang rentan terhadap HTML Injection.
- Setelah dapat website yang diinginkan, kemudian penyerang mengirim URL dengan kode berbahaya yang akan diinjeksi ke dalam URL korban. Cara mengirimnya melalui email atau beberapa mekanisme lainnya.
- Jika korban mengklik URL yang berbahaya ini, akan langsung menjalankan kode JavaScript atau VBScript dengan hak akses yang sama seperti korban.
- Tergantung bagaimana kode ini dijalankan, dapat memberikan informasi sensitif yang dimiliki oleh korban dan bahkan menguasai komputer korban.
Cara Mencegah HTML Injection
Untuk mencegahnya ketika membuat kode untuk halaman website selalu masukan:
- Validasi dari input pengguna dengan mengecek panjang, tipe, format dan rentang data.
- Semua input dari pengguna yang akan di-output oleh aplikasi harus di-encode.
Dan juga jangan pernah percaya link yang dikirimkan melalui email apalagi dari sumber yang tidak kita kenal. Karena tidak hanya dapat melakukan serangan ini, dapat juga digunakan untuk menjalankan metode penyerangan lainnya.
Jakartawebhosting.com menyediakan layanan Web Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.