deendangs
TS
deendangs
Teknik XSS Mengancam Website Anda
WILUJENG SUMPING DI THREAD DEDE ENDANG

Ada sebuah teknik hacking yang cukup mencuri perhatian saya untuk di bahas. Yaitu XSS.

Follow ig Jagat Teknologi yuk.
Biar bisa dapet info-info seputar teknologi.

Jagat Teknologi

Atau cari dengan username @jagat_teknologi

Banyak orang yang meremehkan teknik hacking yang satu ini. yang sebenarnya sangat berbahaya (menurut saya).  Dari mulai hanya buat iseng2 saja. sampe memungkinkan penyerang mencuri Session korban.

Ok kita akan mulai thread ini dengan pengertian XSS terlebih dahulu yang saya ambil dari Wikipedia Indonesia.


Quote:




Kenapa singkatan nya XSS bukan CSS? karena CSS sudah digunakan untuk Cascading Style Sheet.

Dari penjelasan di atas bisa kita ambil kesimpulan bahwa teknik XSS merupakan teknik hacking yang memanfaatkan form yang ada pada suatu situs untuk memasukan script. Seperti HTML,Javascript dll. namun setau saya kebanyakan serangan ini menggunakan script Javascript.CMIIW


Quote:



Apa Yang Bisa Dilakukan Oleh XSS?


Tentu jika ditanya seperti itu. saya hanya akan menjawab Buanyak. Karena memang teknik XSS ini memiliki banyak sekali variasi.

Mulai dari iseng menampilkan sebuah alert pada sebuah situs hanya untuk mengerjai pengunjung situs, Mencuri Session dll.

Sebenarnya XSS Ini hanya akan berhasil jika situs tersebut memiliki fitur untuk menampilkan kembali isian form ke web browser, seperti yang terdapat di dalam form komentar.


Sedangkan HTML injectionadalah istilah yang lebih spesifik kepada cara ’menyisipkan’ kode HTML ke dalam sebuah situs. Namun kita fokus terhadap XSS saja ya. karena saya tidak mau menulis terlalu panjang.

Sebagai contoh mari kita praktekan.
saya akan menginput script di bawah.

[removed]alert('Situs anda telah saya hack!!!, hahaha...')[removed]




Di atas adalah sebuah halaman sederhana yang saya input script di atas. ketika saya meng-klik proses data maka akan tampil seperti di bawah.






Tampilan di atas adalah hasil dari kode JavaScript yang baru saja saya input melalui form. Kode ini dapat berjalan karena pada halaman index.php saya langsung menampilkan data yang diinput oleh user tanpa melakukan proses filter lebih lanjut.

Hal ini sangat berbahaya, karena dengan kode JavaScript seseorang bisa melakukan ’hampir segalanya’ dengan situs kita.Tidak hanya sekedar menampilkan pesan seperti kode di atas, tetapi juga bisa mengubah background, tampilan seluruh web, bahkan mengarahkan pengunjung ke situs lain (redirect).

Cukup mengerikan bukan? sebagai seorang developer web tentu harus faham betul terhadap teknik-teknik hacking seperti ini. agar bisa mengantisipasinya.


Tipe XSS


Reflected atau nonpersistent
Stored atau persistent

Reflected XSS
Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.

Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.

Stored XSS
Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.
Serangan ini lebih menakutkan. Mekanisme pertahanannya sama dengan reflected XSS: jika pengguna diizinkan untuk memasukkan data, lakukan validasi sebelum disimpan pada aplikasi..


Pencegahan

Lalu bagaimana pencegahan untuk menghindari serangan ini?

Salah satunya dengan memanfaatkan Sebuah Function yang disediakan oleh PHP (jika situs tersebut memang di tulis menggunakan PHP). seperti function htmlspecialchars(), htmlentities()atau strip_tags().

Saya tidak bisa menjelaskan tentang function-function di atas. karena agak komplek. dan saya juga sudah cukup lelah menulis.

Karena banyak nya variasi dari serangan ini. pencegahan nya pun sulit-sulit gampang. kenapa sulit-sulit gampang? udah kepanjangan thread nya. semoga ada suhu yang ikut nimbrung supaya bisa belajar.

Mungkin Cukup sekian thread saya untuk kali ini. semoga bisa difahami. jika belum faham silahkan baca sampe faham. atau bertanya di komentar. dan jika ada salah dalam hal penjelsan, kata-kata. mohon di maklum karena saya juga masih belajar.


                                                  emoticon-Rate 5 Staremoticon-Rate 5 Staremoticon-Rate 5 Star
                                                emoticon-Cendol Ganemoticon-Cendol Ganemoticon-Cendol Gan
Kalo bermanfaat share ya gan. 
Terima kasih.
Sekian.

Sumur 1

Sumur 2

Sumur 3
Diubah oleh deendangs 05-02-2020 09:12
danQeorangemonkeygenderwoo
genderwoo dan 13 lainnya memberi reputasi
14
7.6K
61
Guest
Tulis komentar menarik atau mention replykgpt untuk ngobrol seru
Mari bergabung, dapatkan informasi dan teman baru!
Computer Stuff
Computer Stuff
icon
50.4KThread8.7KAnggota
Terlama
Guest
Tulis komentar menarik atau mention replykgpt untuk ngobrol seru
Ikuti KASKUS di
© 2023 KASKUS, PT Darta Media Indonesia. All rights reserved.