Dokumen Asli
Terbatas  Dessy Rondang Monaomi
» Gedung UPT Perpustakaan
Terbatas  Dessy Rondang Monaomi
» Gedung UPT Perpustakaan
Cross-site scripting merupakan kerentanan yang selalu dilaporkan dalam
proyek OWASP Top 10 pada empat rilis terakhir. Selain itu, kerentanan ini juga
merupakan kerentanan yang paling banyak dilaporkan pada situs CVEDetails.
Bahkan, tren pelaporan kerentanan cross-site scripting pada situs tersebut
menunjukkan kenaikan yang signifikan selama sepuluh tahun terakhir. Oleh karena
itu, diperlukan mekanisme pengujian yang komprehensif untuk mencegah
kerentanan cross-site scripting terjadi.
Untuk mengatasi tantangan maraknya kerentanan cross-site scripting, telah
banyak dilakukan penelitian mengenai kakas deteksi cross-site scripting yang
sayangnya masih memiliki tingkat false positive yang tinggi serta bergantung pada
tech stack yang digunakan. Contohnya, kakas XSStrike tidak melakukan konfirmasi
serangan terhadap kerentanan, bahkan belum bisa mengusulkan payload untuk
kategori DOM cross-site scripting. Contoh lainnya terdapat pada penelitian oleh
Mohammadi dkk. (2017) yang hanya bisa digunakan untuk kode JSP.
Tugas Akhir ini mengusulkan kakas deteksi kerentanan cross-site scripting
yang melakukan validasi kerentanan dengan menyerang kandidat kerentanan
tersebut. Dengan menggunakan large language model sebagai pembuat payload
menggunakan teknik prompting few-shot, kakas yang diusulkan pada Tugas Akhir
ini mampu menyamai kinerja kakas XSStrike pada deteksi server cross-site
scripting bahkan jauh melampauinya pada deteksi client cross-site scripting
terhadap open source software Google Firing Range dengan mendeteksi 59 dari 92
kerentanan yang ada. Teknik ini juga terbukti menghilangkan seluruh false positive
pada pengujian cross-site cripting terhadap open source software Airflow. Hal ini
dicapai hanya dengan waktu tambahan satu sampai dua detik serta biaya tambahan
$0.01 untuk setiap halaman yang diuji. Walaupun begitu, penggunaan teknik
automatic prompt engineering yang tidak sama persis dengan teori aslinya dan
jumlah kerentanan pada Airflow yang sedikit menjadi masukan untuk penelitian
berikutnya.