You are here
Home > Deface

Cross-Site Scripting (XSS)

Serangan xss

XSS atau Cross-site Scripting merupakan sebuah serangan yang dilakukan dengan memasukan sebuah kode html atau client side terhadap suatu situs. Alasan disingkat menjadi xss adalah karena css sudah digunakan untuk cascade style sheet. Atau karena ada kata cross? Entahlah :v

Contohnya adalah seorang penyerang melakukan input <script>alert(‘Hacked’)</script> maka saat laman diakses, akan muncul javascript alert dengan tulisan hacked. Memang terlihat sebuah bug yang sepele. Tapi bukan hanya itu, xss dapat menutupi semua halaman situs, melakukan redirect, membajak cookie pengguna dan hal – hal berbahaya lainnya.

Apabila situs yang ditargetkan adalah sebuah situs besar atau situs e-commerce, ini dapat merugikan pengguna dan juga admin situs. Untuk itu, mari kita pelajari mengenai cross-site scripting ini.

Serangan dalam xss dibagi menjadi 2, yaitu reflected dan stored. Berikut adalah penjabarannya.

1.Reflected

Serangan yang dapat dilakukan apabila kita telah memasukan input terhadap sebuah situs, dan hanya berlaku apabila kita mengaksesnya dengan input tersebut. Contoh serangan xss tipe reflected adalah pada summernote. Kalian bisa melihat contoh kerentanan situs summernote disini.

2.Stored

Berbeda dengan tipe reflected, yang akan terlihat apabila input dilakukan sesuai keinginan penyerang. Tipe serangan ini akan muncul apabila data yang diinput akan ditampilkan kembali, seperti halnya yang terjadi pada kolom komentar, buku tamu dan apapun itu yang akan menampilkan data hasil input pengguna.

Untuk mengatasi serangan ini, bila kalian menggunakan php. Kalian dapat menggunakan fitur htmlspecialchars() yang akan melakukan filtrasi terhadap kode – kode injeksi. Atau kalian juga bisa menggunakan str_replace untuk melakukan filtrasi.

Download hackbar, addons firefox yang dapat membantu proses hacking seperti xss, lfi dan sql injection.

Baca juga artikel bypass admin login, serangan yang melakukan injeksi query sql terhadap sebuah form login. Yang akan membuat input yang dimasukan bernilai true dan mengambil hak akses sebagai admin.

0N3R1D3R
Founder Indonesia To World Team
https://www.indonesiatoworld.org

Berlangganan via email

Ketik email:


Tinggalkan Balasan

Top