Perpustakaan Digital ITB

Cross-site scripting merupakan kerentanan yang selalu dilaporkan dalam proyek OWASP Top 10 pada empat rilis terakhir. Selain itu, kerentanan ini juga merupakan kerentanan yang paling banyak dilaporkan pada situs CVEDetails. Bahkan, tren pelaporan kerentanan cross-site scripting pada situs tersebut menunjukkan kenaikan yang signifikan selama sepuluh tahun terakhir. Oleh karena itu, diperlukan mekanisme pengujian yang komprehensif untuk mencegah kerentanan cross-site scripting terjadi. Untuk mengatasi tantangan maraknya kerentanan cross-site scripting, telah banyak dilakukan penelitian mengenai kakas deteksi cross-site scripting yang sayangnya masih memiliki tingkat false positive yang tinggi serta bergantung pada tech stack yang digunakan. Contohnya, kakas XSStrike tidak melakukan konfirmasi serangan terhadap kerentanan, bahkan belum bisa mengusulkan payload untuk kategori DOM cross-site scripting. Contoh lainnya terdapat pada penelitian oleh Mohammadi dkk. (2017) yang hanya bisa digunakan untuk kode JSP. Tugas Akhir ini mengusulkan kakas deteksi kerentanan cross-site scripting yang melakukan validasi kerentanan dengan menyerang kandidat kerentanan tersebut. Dengan menggunakan large language model sebagai pembuat payload menggunakan teknik prompting few-shot, kakas yang diusulkan pada Tugas Akhir ini mampu menyamai kinerja kakas XSStrike pada deteksi server cross-site scripting bahkan jauh melampauinya pada deteksi client cross-site scripting terhadap open source software Google Firing Range dengan mendeteksi 59 dari 92 kerentanan yang ada. Teknik ini juga terbukti menghilangkan seluruh false positive pada pengujian cross-site cripting terhadap open source software Airflow. Hal ini dicapai hanya dengan waktu tambahan satu sampai dua detik serta biaya tambahan $0.01 untuk setiap halaman yang diuji. Walaupun begitu, penggunaan teknik automatic prompt engineering yang tidak sama persis dengan teori aslinya dan jumlah kerentanan pada Airflow yang sedikit menjadi masukan untuk penelitian berikutnya.