You are here
Home > Deface

Cross-Site Scripting (XSS)

Serangan xss

XSS atau Cross-site Scripting merupakan sebuah serangan yang dilakukan dengan memasukan sebuah kode html atau client side terhadap suatu situs. Alasan disingkat menjadi xss adalah karena css sudah digunakan untuk cascade style sheet. Atau karena ada kata cross? Entahlah :v

Contohnya adalah seorang penyerang melakukan input <script>alert(‘Hacked’)</script> maka saat laman diakses, akan muncul javascript alert dengan tulisan hacked. Memang terlihat sebuah bug yang sepele. Tapi bukan hanya itu, xss dapat menutupi semua halaman situs, melakukan redirect, membajak cookie pengguna dan hal – hal berbahaya lainnya.

Apabila situs yang ditargetkan adalah sebuah situs besar atau situs e-commerce, ini dapat merugikan pengguna dan juga admin situs. Untuk itu, mari kita pelajari mengenai cross-site scripting ini.

Serangan dalam xss dibagi menjadi 2, yaitu reflected dan stored. Berikut adalah penjabarannya.

1.Reflected

Serangan yang dapat dilakukan apabila kita telah memasukan input terhadap sebuah situs, dan hanya berlaku apabila kita mengaksesnya dengan input tersebut. Contoh serangan xss tipe reflected adalah pada summernote. Kalian bisa melihat contoh kerentanan situs summernote disini.

2.Stored

Berbeda dengan tipe reflected, yang akan terlihat apabila input dilakukan sesuai keinginan penyerang. Tipe serangan ini akan muncul apabila data yang diinput akan ditampilkan kembali, seperti halnya yang terjadi pada kolom komentar, buku tamu dan apapun itu yang akan menampilkan data hasil input pengguna.

Untuk mengatasi serangan ini, bila kalian menggunakan php. Kalian dapat menggunakan fitur htmlspecialchars() yang akan melakukan filtrasi terhadap kode – kode injeksi. Atau kalian juga bisa menggunakan str_replace untuk melakukan filtrasi.

Download hackbar, addons firefox yang dapat membantu proses hacking seperti xss, lfi dan sql injection.

Baca juga artikel bypass admin login, serangan yang melakukan injeksi query sql terhadap sebuah form login. Yang akan membuat input yang dimasukan bernilai true dan mengambil hak akses sebagai admin.

0N3R1D3R
Founder Indonesia To World Team
https://www.indonesiatoworld.org

2 thoughts on “Cross-Site Scripting (XSS)

  1. Hi. I have checked your indonesiatoworld.org and i see you’ve got some duplicate content so probably
    it is the reason that you don’t rank high in google. But you can fix this issue fast.
    There is a tool that rewrites articles like human, just search
    in google: miftolo’s tools

  2. I have been browsing online more than 4 hours today, yet I never found
    any interesting article like yours. It is pretty worth enough for me.
    In my view, if all webmasters and bloggers made good content as you did, the
    net will be a lot more useful than ever before.

Tinggalkan Balasan

Top