Electronic Theses and Dissertation

Penyajian informasi melalu website secara online merupakan salah satu dampak positif dari adanya internet. Informasi dapat diperoleh dari manapun dan kapanpun dengan mudah. Namun, banyak hal yang harus diperhatikan ketika mengembangkan aplikasi web seperti keamanan terhadap serangan Cross-Site Scripting. Pilihan awal yang dapat digunakan dalam mencegah terjadinya serangan XSS yaitu dengan memasang WAF pada aplikasi web. Penelitian ini bertujuan untuk membuat sebuah sistem berbasis ekstensi browser yang mampu mendeteksi kerentanan Cross-Site Scripting pada aplikasi web. Metode yang digunakan dalam pendeteksian kerentanan Cross-Site Scripting yaitu dengan melakukan pengujian terhadap parameter-parameter GET atau POST yang terdapat pada aplikasi web yang akan diuji. Parameter-parameter tersebut akan diuji menggunakan vector yang berbeda-beda. Tidak hanya itu, dilakukan juga pengujian untuk mendeteksi Cloudflare WAF yang dipakai oleh aplikasi web, sehingga vektor yang dipakai dapat disesuaikan. Berdasarkan metode diatas, diimplementasikan sebuah sistem deteksi berbasis ekstensi browser pada peramban mozilla firefox. Sistem ini akan menguji secara otomatis parameter-parameter GET dan POST pada aplikasi menggunakan basic XSS payload. Jika sistem mendeteksi Cloudflare WAF pada aplikasi web, sistem akan secara otomatis menggunakan bypass XSS payload agar pendeteksian lebih efisien. Hasil yang didapatkan dari implementasi sistem yaitu sistem dapat mendeteksi kerentanan Cross-site Scripting pada berbagai website dengan cepat, sekitar 1-3 detik dalam 1 kali percobaan. Sistem juga mampu memndeteksi kerentanan Cross-site Scripting pada aplikasi web yang sudah menerapkan Cloudflare WAF.

The presentation of information through the website online is one of the positive impacts of the internet. Information can be obtained from anywhere and anytime easily. However, many things must be considered when developing web applications such as security against Cross-Site Scripting attacks. The initial option that can be used to prevent XSS attacks is to install WAF on a web application. This study aims to create a browser extension-based system that is able to detect Cross-Site Scripting vulnerabilities in web applications. The method used in the detection of Cross-Site Scripting vulnerabilities is by testing the GET or POST parameters contained in the web application to be tested. These parameters will be tested using different vectors. Not only that, testing was also carried out to detect Cloudflare WAF used by web applications, so that the vectors used can be adjusted. Based on the above method, a browser extension-based detection system is implemented on the mozilla firefox browser. This system will automatically test the GET and POST parameters on the application using the basic XSS payload. If the system detects Cloudflare WAF in a web application, it will automatically bypass the XSS payload for more efficient detection. The results obtained from the implementation of the system are that the system can detect Cross-site Scripting vulnerabilities on various websites quickly, about 1-3 seconds in 1 trial. The system is also able to detect Cross-site Scripting vulnerabilities in web applications that have implemented Cloudflare WAF.