Cyberthreat.id - Google telah menyiapkan situs baru untuk melacak kebocoran lintas situs, memperingatkan bahwa jenis cacat ini digunakan oleh beberapa situs untuk mencuri informasi tentang pengguna atau data mereka di aplikasi web lain.

Menggunakan domain xsleaks.dev, situs ini disebut XS-Leaks Wiki, menyertakan informasi tentang prinsip di balik kebocoran lintas situs, serangan umum, dan mengusulkan mekanisme pertahanan untuk menghentikan serangan ini.

"Masalah keamanan yang ditemukan dalam aplikasi web modern semakin bergantung pada penyalahgunaan perilaku platform web yang sudah berlangsung lama, yang memungkinkan situs yang tidak menyenangkan untuk mengungkapkan informasi tentang pengguna atau datanya di aplikasi web lain. Hal ini secara luas disebut sebagai lintas- kebocoran situs (XS-Leaks), menimbulkan tantangan menarik bagi para insinyur keamanan dan pengembang browser web karena keragaman serangan dan kompleksitas membangun pertahanan yang komprehensif," kata Google seperti dilansir dari ZD Net, Senin (7 Desember 2020).

Wiki menjelaskan bahwa XSLeaks "adalah kelas kerentanan yang berasal dari saluran samping yang dibangun ke dalam platform web."

"Mereka memanfaatkan prinsip inti web dari komposabilitas, yang memungkinkan situs web berinteraksi satu sama lain, dan menyalahgunakan mekanisme yang sah untuk menyimpulkan informasi tentang pengguna," Wiki menjelaskan.

"Prinsip XS-Leak adalah menggunakan saluran samping yang tersedia di web untuk mengungkapkan informasi sensitif tentang pengguna, seperti data mereka di aplikasi web lain, detail tentang lingkungan lokal mereka, atau jaringan internal tempat mereka terhubung."

Meskipun kerentanan seperti itu umumnya tidak dipandang sebagai kelemahan serius, kerentanan tersebut juga sangat umum dan dapat digunakan sebagai landasan peluncuran untuk serangan yang lebih kompleks dan berbahaya.

Google telah menangani kerentanan XSS dengan peneliti keamanan eksternal sejak 2010 melalui bug bounty untuk situs web Google termasuk Google dan YouTube. Google dulu memiliki fitur di Chrome yang disebut XSS Auditor yang memindai kode sumber situs web untuk menemukan tanda-tanda serangan skrip lintas situs pada browser pengguna. Namun, Google  menghapus XSS Auditor tahun lalu setelah menemukan itu memperkenalkan terlalu banyak kebocoran XS itu sendiri.

Wiki ini juga merinci bagaimana pengembang browser web dapat mengadopsi fitur keamanan browser baru seperti Fetch Metadata Request Headers yang dikirim oleh browser dengan permintaan HTTPS untuk memberikan konteks tentang bagaimana permintaan dimulai. Ini memungkinkan aplikasi untuk membuat keputusan yang lebih tepat tentang bagaimana menanggapinya.

Pertahanan lainnya termasuk Kebijakan Pembuka Lintas Asal (Cross-Origin Opener Policy), Kebijakan Sumber Daya Lintas Asal (Cross-Origin Resource Polic), dan cookie SameSite.[]