SSTI, RCE, LFI, dan XSS: Contoh Real & Teknik Testing-nya

Azura Labs, Semarang – Di tahun 2025, serangan siber makin canggih — tapi ironisnya, banyak celah klasik seperti SSTI, RCE, LFI, dan XSS masih terus dimanfaatkan attacker karena sering luput dari perhatian developer. Artikel ini akan membahas keempat jenis celah ini secara ringkas namun tajam: mulai dari contoh nyata, hingga teknik testing yang relevan untuk era modern.

1. SSTI (Server-Side Template Injection)

🔍 Apa Itu SSTI?

SSTI terjadi ketika input user disisipkan ke dalam template engine tanpa filter. Akibatnya, attacker bisa mengeksekusi kode di server. Celah ini sering muncul di template seperti Jinja2 (Python), Twig (PHP), atau Velocity (Java).

💥 Contoh Real:

Seorang attacker menyisipkan payload {{7*7}} di input komentar. Kalau halaman tersebut menampilkan output 49, artinya SSTI aktif dan bisa dieksploitasi lebih jauh jadi RCE.

🧪 Teknik Testing:

• Coba payload seperti {{7*7}}, ${7*7}, #{7*7} tergantung template engine yang digunakan.
• Gunakan tools seperti tplmap untuk eksploitasi otomatis.

2. RCE (Remote Code Execution)

🔍 Apa Itu RCE?

RCE memungkinkan attacker menjalankan perintah sistem (OS) dari jarak jauh. Ini jenis celah paling berbahaya karena bisa langsung diubah jadi pengambilalihan server.

💥 Contoh Real:

Pada API upload gambar, user bisa upload file .php yang berisi kode berbahaya seperti:

<?php system($_GET['cmd']); ?>

Lalu attacker mengakses: site.com/uploads/shell.php?cmd=ls

🧪 Teknik Testing:

• Cari endpoint yang mengeksekusi input sebagai perintah (os.system, eval, exec).
• Uji dengan payload sederhana: ; ls, && whoami, atau payload polyglot.
• Gunakan tools seperti Burp Suite, Commix, atau manual fuzzing.

3. LFI (Local File Inclusion)

🔍 Apa Itu LFI?

LFI terjadi ketika input user digunakan untuk mengakses file di sistem server. Tujuannya biasanya untuk membaca file sensitif seperti /etc/passwd atau wp-config.php.

💥 Contoh Real:

URL seperti ini mencurigakan:

https://target.com/page.php?file=about

Attacker bisa ubah menjadi:

https://target.com/page.php?file=../../../../etc/passwd

🧪 Teknik Testing:

• Uji parameter yang mencurigakan (file, page, view) dengan path traversal (../).
• Tes dengan encoding (misal: %2e%2e/) jika ada filter.
• Gunakan tool seperti LFISuite atau Ffuf untuk brute force file path.

4. XSS (Cross-Site Scripting)

🔍 Apa Itu XSS?

XSS adalah celah klasik yang masih sangat relevan. Attacker menyisipkan script jahat ke dalam halaman web yang dilihat user lain. Bisa untuk mencuri cookie, redirect phishing, atau serangan CSRF.

💥 Contoh Real:

Form komentar yang tidak memfilter input bisa menampilkan:

<script>alert('XSS')</script>

di browser pengunjung lain.

🧪 Teknik Testing:

• Coba payload umum: <script>alert(1)</script>, <img src=x onerror=alert(1)>
• Cek di semua input form, URL, bahkan di HTTP headers (misal: Referer, User-Agent).
• Gunakan tools seperti XSStrike, Dalfox, atau Burp Suite Pro.

⚙️ Tips Tambahan di 2025

• Gunakan Content Security Policy (CSP) yang benar untuk mitigasi XSS modern.
• Implementasi template engine yang sandboxed untuk menghindari SSTI jadi RCE.
• Audit code yang melakukan include, require, eval, atau parsing template dinamis.
• Automasi testing pakai CI/CD dengan integrasi DAST tools seperti ZAP atau Nuclei.

SSTI, RCE, LFI, dan XSS bukan celah baru, tapi tetap jadi favorit attacker — karena sering muncul akibat kurangnya pemahaman dan testing yang tepat. Di 2025, tidak cukup hanya mengandalkan framework atau WAF. Developer dan tim QA harus proaktif memahami jenis-jenis celah ini dan menguji aplikasi secara real-world.

Ingat: pahami cara kerjanya, eksploitasinya, dan mitigasinya — karena attacker pasti melakukannya lebih dulu.