Cross Site Scripting

Mei 31, 2015
XSS merupakan salah satu kerentanan yang paling umum yang ada di banyak aplikasi web saat ini. XSS adalah teknik di mana penyerang mencoba untuk membahayakan aplikasi web dengan menjalankan skrip berbahaya di website. Penyerang melakukan hal ini dengan melanggar "Same-Origin" kebijakan aplikasi web. The "Same-Origin" kebijakan menyatakan bahwa script yang berasal dari situs asing atau script yang tidak termasuk dalam domain yang sama (yaitu document.domain) tidak harus diproses oleh aplikasi.

Setelah penyerang mampu mengetahui XSS dalam aplikasi web, ia dapat melakukan berbagai macam serangan dengan menggunakan celah ini. Beberapa dari mereka adalah:
  1. mencuri Kredensial
  2. Mencuri token Sesi
  3. Defacing Website
  4. menyebabkan DOS
Instalasi Key logger dan banyak lagi ....

Cross-Site Scripting-ada dalam tiga bentuk yang berbeda:
  1. Reflected XSS
  2. Stored XSS
  3. DOM Based XSS

Reflected XSS:
Jenis ini ada kerentanan dalam aplikasi yang menggunakan halaman dinamis untuk menampilkan konten ke pengguna. Biasanya aplikasi ini mengambil pesan ke parameter dan membuat itu kembali ke pengguna.

Sebagai contoh:
Pertimbangkan URL: http://www.samplesite.com/error.html?value=learn+hacking
Ini menunjukkan pesan "belajar hacking" dalam respon aplikasi. Ini berarti aplikasi mengekstrak pesan dari URL, proses, dan menampilkan kepada pengguna. Jadi URL memproses data yang disediakan pengguna dan memasukkan ke dalam respon server. Jika tidak ada sanitasi yang tepat, maka aplikasi ini rentan terhadap Reflected XSS.

URL dapat dibuat sebagai:

http://www.samplesite.com/error.html?value=</script><script>alert(1);</script>
Ketika Anda mengklik pada URL di atas, muncul kotak peringatan.

Stored XSS:
Jenis kerentanan ada di aplikasi yang mengambil input dari user dan menyimpannya dalam aplikasi, kemudian menampilkan ke pengguna lain.
Sebagai contoh:
Pertimbangkan aplikasi Facebook yang memungkinkan mengomentari gambar atau update status dan kemudian menampilkan semua pengguna lain. Jika aplikasi tidak membersihkan masukan dengan benar, maka penyerang dapat menulis script di area komentar, sehingga pengguna yang mengunjungi atau melihat halaman tertentu atau posting akan terpengaruh.

Jadi Stored XSS terdiri dari dua hal yang harus dilakukan. Awalnya, para penyerang memasukkan script berbahaya ke dalam aplikasi. Kedua, pengguna mengunjungi halaman dibuat dan script dijalankan di back-end tanpa sepengetahuan pengguna.

DOM Based XSS:
DOM singkatan Document Object Model. Hal ini sangat berbeda dengan dua serangan lainnya yang dijelaskan sebelumnya. Dalam DOM Berbasis XSS, ketika pengguna mengklik URL dibuat, respon dari server tidak terdiri dari naskah penyerang. Sebaliknya, browser mengeksekusi script berbahaya saat memproses respon.

Hal ini karena Document Object Model dari browser memiliki kemampuan untuk menentukan URL yang digunakan untuk memuat halaman saat ini. Script dikeluarkan oleh aplikasi dapat mengekstrak data dari URL dan memprosesnya. Kemudian mengunggah konten halaman dinamis, tergantung pada skrip dijalankan melalui URL.

Artikel Terkait

Next Article
« Prev Post
Previous Article
Next Post »
Penulisan markup di komentar
  • Untuk menulis huruf bold silahkan gunakan <strong></strong> atau <b></b>.
  • Untuk menulis huruf italic silahkan gunakan <em></em> atau <i></i>.
  • Untuk menulis huruf underline silahkan gunakan <u></u>.
  • Untuk menulis huruf strikethrought silahkan gunakan <strike></strike>.
  • Untuk menulis kode HTML silahkan gunakan <code></code> atau <pre></pre> atau <pre><code></code></pre>, dan silahkan parse dulu kodenya pada kotak parser di bawah ini.
Konversi Code
Disqus
Silahkan Berkomentar Dengan