Proteksi Cookie Dari Serangan XSS
Masih ingat tiga teknik membajak session? Predict, capture, fixate session cookie. Nah, salah satu teknik capture cookie adalah dengan xss (cross site scripting), yaitu dengan menginjeksi script di browser korban, kemudian script tersebut membaca dan mengirimkan cookie ke server milik attacker. Script membaca cookie melalui document.cookie yang memang disediakan browser agar script bisa memanipulasi cookie di sisi client.
Bagaimana cara melindungi cookie dari pencurian bila terjadi serangan xss? Memang developer seharusnya berusaha agar tidak ada bug xss di aplikasi webnya, namun mencegah xss ternyata tidak mudah. Banyak sekali varian penulisan tag/script yang memungkinkan injeksi script. Kalau semua tag html tidak boleh di aplikasinya, itu mudah untuk
mencegah xss. Namun bila developer berada dalam situasi di mana ada tag html yang boleh dan yang tidak boleh, ini yang sulit dan seringkali developer kecolongan.
Sebenarnya ada flag dari cookie yang bila dimanfaatkan akan membantu mencegah pencurian cookie bila ada hole XSS. Flag tersebut adalah httpOnly dan secure. Bila cookie diberi flag httponly/secure, maka javascript tidak akan bisa mengakses cookie melalui document.cookie. Namun flag ini tidak mencegah XSS, flag ini hanya membantu melindungi
cookie. Ingat masih banyak serangan lain yang bisa dilakukan oleh XSS dan lebih berbahaya dibanding mencuri cookie. Jadi developer tetap harus hati-hati sebelum menampilkan sesuatu di browser client. Flag ini sebenarnya sangat berguna, namun sayang jarang sekali dipakai karena mungkin flag ini tidak populer dan tidak banyak developer yang tahu.
Selengkapnya tentang httponly dan secure flag silakan dibaca di:
http://www.ilmuhacking.com/web-security/protecting-cookie-from-xss-using-httponly-secure-flag/
Komentar