» » » Pengertian XSS
,

Pengertian XSS

Cross Site Scripting
Jaman ane lebih jahil dulu, ane sering nih pake method ini untuk deface atau web hacking, coba search aja uname "X'badai-Attacker, KhR1Z_Sec, Indonesian Attacker, Xbadai, atau X-CCT" diGoogle, itu bakal jadi bukti. Mau tau apa sii XSS itu? Simak aja langsung yuk!
XSS merupakan kependekan yang digunakan untuk istilah cross site scriptingXSS adalah salah satu jenis serangan injeksi code(code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.
Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk cascade style sheet.

Tipe XSS

  • Reflected atau nonpersistent
  • Stored atau persistent

Reflected XSS

Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.
Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.
Contoh penyerangan menggunakan XSS (Nama – nama yang saya pakai merupakan karangan) :
1. Toni sering mengunjungi website jack, yang di website tersebut memungkinkan toni untuk memasukan username/password dan menyimpan data pribadi atau data transaksi yang seharusnya tidak boleh diketahui orang lain.
2. Rey mengetahui bahwa toni sering mengunjungi web tersebut, dan lalu mengamati jika di website buatan Jack terdapat kerentanan atau celah yang bisa diserang menggunakan xss
3. Rey lalu mengekplore dan mencoba mencari celahnya dan membuat script berbahaya dan kemudian di embed atau dimasukan ke dalam sbuah URL
4. Rey lalu mengirim email ke toni yang berisi link ke halaman web jack yang sebenernya urlnya sudah di embed script yang berbahaya tersebut, serta merayunya dengan alasan palsu atau sejenisnya.
5. saat Toni click URL tersebut maka toni akan masuk ke dalam website jack serta script yang sudah rey buat akan dijalankan, sehingga rey bisa mengmbil data dari coocienya dan bisa memanfaatkanya.
untuk kejelasan entuk scriptnya seprti apa silahkan dipelajari sendiri.. :D

Stored XSS

Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.
Ini contoh sederhana yang saya dapat dari wikipedia, spertinya bisa dimengerti karena sederhana :
  1. Mallory posts a message with malicious payload to a social network.
  2. When Bob reads the message, Mallory’s XSS steals Bob’s cookie.
  3. Mallory can now hijack Bob’s session and impersonate Bob
Banyak hal yang bisa anda pelajari, dan dengan mengetahuinya anda pasti akan bisa mencari cara mencegahnya. Semangat untuk terus belajar guys! Keep high yaw! :D :p

0 Response to "Pengertian XSS"

Post a Comment

Subscribe to: Post Comments (Atom)
/*! SCRIPT IKLAN */ /*! SCRIPT IKLAN */