ABSTRAKSI: Cross Site Scripting (XSS) menjadi salah satu isu keamanan aplikasi web yang sedang berkembang. User memasukan script tertentu pada aplikasi web dan akan tereksekusi pada saat user lain sebagai korban mengaksesnya melalui web browsernya. Informasi sensitif pada browser tersebut dapat terkirim kepada user lain yang tidak bertanggung jawab. Kerentanan aplikasi web terhadap celah ini mampu membuat resiko seperti pencurian account user. Hal ini cukup berbahaya karena privasi seseorang dapat terganggu.
Pencegahan dapat dilakukan dengan mengawasi variabel input serta output data pada aplikasi web. Tugas akhir ini memberikan salah satu solusi berupa modul aplikasi web PHP pencegah XSS dengan nama xrex. Xrex diimplementasikan dalam bentuk class PHP. Pendeteksian XSS dibantu rules dalam bentuk regex yang dibuat berdasar XSS cheat sheet [12]. Hasil analisis XSS cheat sheet membentuk 17 regex sebagai rules. Selanjutnya modul ini diuji dengan mengintegrasikannya pada aplikasi web dengan memberikan input berupa string serangan XSS serta string lain yang dianggap normal. Sebagai hasilnya dapat dilihat tidak adanya false negatif yang muncul, namun terdapat 7 false positif dikarenakan xrex belum mampu mengawasi hyperlink serta image yang mengacu pada host lain.Kata Kunci : Keamanan Aplikasi Web, XSS, Cross Site Scripting, PHP, RegexABSTRACT: Cross Site Scripting (XSS) becomes most popular issues in web application security. The attacker be able to inject certain scripting code into a web application and it will activated by the time another user access this application. User browser will send the user's information into attacker's computer. This web application vulnerability may give risks to an user account for hijacking. This may harmful for user account privacy.
The precaution steps can be done by filtering all input and output data variable in web application. This final assignment gives one of solution which is a web PHP application module to prevent the XSS called xrex. Xrex itself was immplemented into PHP class. XSS can be detected and helped by rules in form of regex according XSS cheat sheet [12]. This module was tested to web application and gave the input as strings of XSS attack and other strings which was considered normal. As a result, the input showed 0 false negative and 7 false positive due to xrex can not be oversee and filter hyperlink and image which is refered by other hosts.Keyword: Web Security, XSS, Cross Site Scripting, PHP, Regex