Tech
Batal
KATEGORI
link has been copied
61
KASKUS
51
244
https://www.kaskus.co.id/thread/5cd6eeadf4d69501390609e0/teknik-xss-mengancam-website-anda
XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.
Lapor Hansip
11-05-2019 22:47

Teknik XSS Mengancam Website Anda

Past Hot Thread
WILUJENG SUMPING DI THREAD DEDE ENDANG

Ada sebuah teknik hacking yang cukup mencuri perhatian saya untuk di bahas. Yaitu XSS.

Follow ig Jagat Teknologi yuk.
Biar bisa dapet info-info seputar teknologi.

Jagat Teknologi

Atau cari dengan username @jagat_teknologi

Banyak orang yang meremehkan teknik hacking yang satu ini. yang sebenarnya sangat berbahaya (menurut saya).  Dari mulai hanya buat iseng2 saja. sampe memungkinkan penyerang mencuri Session korban.

Ok kita akan mulai thread ini dengan pengertian XSS terlebih dahulu yang saya ambil dari Wikipedia Indonesia.


Quote:XSS merupakan kependekan yang digunakan untuk istilah cross site scripting.

XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.




Kenapa singkatan nya XSS bukan CSS? karena CSS sudah digunakan untuk Cascading Style Sheet.

Dari penjelasan di atas bisa kita ambil kesimpulan bahwa teknik XSS merupakan teknik hacking yang memanfaatkan form yang ada pada suatu situs untuk memasukan script. Seperti HTML,Javascript dll. namun setau saya kebanyakan serangan ini menggunakan script Javascript.CMIIW


Quote:Salah satu konsep dasar yang harus selalu kita ingat sebagai web developer adalah: jangan percaya dengan apa yang diinput user (pengguna). Setiap “hal” yang memungkinkan seseorang untuk menginput sesuatu(seperti form) dapat menjadi celah membobol web kita atau menyisipkan kode-kode aneh.

--PHP UNCOVER 



Apa Yang Bisa Dilakukan Oleh XSS?


Tentu jika ditanya seperti itu. saya hanya akan menjawab Buanyak. Karena memang teknik XSS ini memiliki banyak sekali variasi.

Mulai dari iseng menampilkan sebuah alert pada sebuah situs hanya untuk mengerjai pengunjung situs, Mencuri Session dll.

Sebenarnya XSS Ini hanya akan berhasil jika situs tersebut memiliki fitur untuk menampilkan kembali isian form ke web browser, seperti yang terdapat di dalam form komentar.


Sedangkan HTML injection adalah istilah yang lebih spesifik kepada cara ’menyisipkan’ kode HTML ke dalam sebuah situs. Namun kita fokus terhadap XSS saja ya. karena saya tidak mau menulis terlalu panjang.

Sebagai contoh mari kita praktekan.
saya akan menginput script di bawah.

[removed]alert('Situs anda telah saya hack!!!, hahaha...')[removed]


Teknik XSS Mengancam Website Anda

Di atas adalah sebuah halaman sederhana yang saya input script di atas. ketika saya meng-klik proses data maka akan tampil seperti di bawah.




Teknik XSS Mengancam Website Anda

Tampilan di atas adalah hasil dari kode JavaScript yang baru saja saya input melalui form. Kode ini dapat berjalan karena pada halaman index.php saya langsung menampilkan data yang diinput oleh user tanpa melakukan proses filter lebih lanjut.

Hal ini sangat berbahaya, karena dengan kode JavaScript seseorang bisa melakukan ’hampir segalanya’ dengan situs kita.Tidak hanya sekedar menampilkan pesan seperti kode di atas, tetapi juga bisa mengubah background, tampilan seluruh web, bahkan mengarahkan pengunjung ke situs lain (redirect).

Cukup mengerikan bukan? sebagai seorang developer web tentu harus faham betul terhadap teknik-teknik hacking seperti ini. agar bisa mengantisipasinya.


Tipe XSS


Reflected atau nonpersistent
Stored atau persistent

Reflected XSS
Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.

Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.

Stored XSS
Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.
Serangan ini lebih menakutkan. Mekanisme pertahanannya sama dengan reflected XSS: jika pengguna diizinkan untuk memasukkan data, lakukan validasi sebelum disimpan pada aplikasi..


Pencegahan

Lalu bagaimana pencegahan untuk menghindari serangan ini?

Salah satunya dengan memanfaatkan Sebuah Function yang disediakan oleh PHP (jika situs tersebut memang di tulis menggunakan PHP). seperti function htmlspecialchars(), htmlentities() atau strip_tags().

Saya tidak bisa menjelaskan tentang function-function di atas. karena agak komplek. dan saya juga sudah cukup lelah menulis.

Karena banyak nya variasi dari serangan ini. pencegahan nya pun sulit-sulit gampang. kenapa sulit-sulit gampang? udah kepanjangan thread nya. semoga ada suhu yang ikut nimbrung supaya bisa belajar.

Mungkin Cukup sekian thread saya untuk kali ini. semoga bisa difahami. jika belum faham silahkan baca sampe faham. atau bertanya di komentar. dan jika ada salah dalam hal penjelsan, kata-kata. mohon di maklum karena saya juga masih belajar.


                                                  emoticon-Rate 5 Staremoticon-Rate 5 Staremoticon-Rate 5 Star
                                                emoticon-Cendol Ganemoticon-Cendol Ganemoticon-Cendol Gan
Kalo bermanfaat share ya gan. 
Terima kasih.
Sekian.

Sumur 1

Sumur 2

Sumur 3
Diubah oleh deendangs
profile-picture
profile-picture
profile-picture
genderwoo dan 13 lainnya memberi reputasi
14
Masuk atau Daftar untuk memberikan balasan
Halaman 1 dari 4
Teknik XSS Mengancam Website Anda
14-05-2019 12:21
Sama aja nih gan kaya SQL Injection.
profile-picture
profile-picture
BeRightBack. dan jmontefiore memberi reputasi
2 0
2
Post ini telah dihapus oleh Kaskus Support 15
Teknik XSS Mengancam Website Anda
15-05-2019 12:02
wah ngga ngerti beginian nih NENG ELLA
ikut nyimak aja


Teknik XSS Mengancam Website Anda
Diubah oleh fellgrey
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:03
kurang paham ane bginian emoticon-Cape d...
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:03
Apaan yak ?
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:04
Waduh bahaya nih emoticon-Takut
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:04
Wuih pernah ane coba pas ada tugas kampus
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:06
learning by doing brrti ini
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:06
duh nakutin nih kudu semakin ati2 aja nih
emoticon-Malu
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:06
kangen hp esia hidayah, emoticon-sad
profile-picture
jinzflix memberi reputasi
1 0
1
Teknik XSS Mengancam Website Anda
15-05-2019 12:10
lgi rame nih nyari bug ginian emoticon-Ngakak (S)
profile-picture
profile-picture
roybgr dan entewasir memberi reputasi
2 0
2
Teknik XSS Mengancam Website Anda
15-05-2019 12:14
Kurang paham ginian gan.. Thanks infonya nanti ane baca lbh detail
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:14

tukang parkir

Berarti formnya ngga divalidasi gan.. semua metode get atau apapun yg berpotensi bisa diXSS best practicenya divalidasi sama dilakukan strip tag
profile-picture
kupritkeriting memberi reputasi
1 0
1
Teknik XSS Mengancam Website Anda
15-05-2019 12:15
Noted, nice inpo
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:16
Kalo mnurut ane nih, xss udah di atasi sama php framework. Tiap update dia ngasih bugfix. Kek laravel, cara ini udah g berfungsi. Tp g tau kalo ada tekhnik lainnya. Karna emg g ada sistem yang sempurna. Kalo yg CI ane blum pernah pake sih. Ada yang sempat ngalamin? Sharing pengalaman aja. Kalo yg via php native, kemungkinan besar masih bs jalan
profile-picture
profile-picture
kupritkeriting dan budyglory memberi reputasi
2 0
2
Lihat 2 balasan
Memuat data ...
1 - 0 dari 2 balasan
prof-pic
Tulis balasan post ini gan...
prof-pic
Guest
Teknik XSS Mengancam Website Anda
15-05-2019 12:17
Ijin ninggalin jejak dulu gan emoticon-Malu
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:20
ngeri juga y
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:21
Web pemerintah ane sering nemu nih bug XSS
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:24
last mas biar cepet walik
0 0
0
Teknik XSS Mengancam Website Anda
15-05-2019 12:24
emoticon-2 Jempol
0 0
0
Halaman 1 dari 4
icon-hot-thread
Hot Threads
obrolan-hangat-logo
Obrolan Hangat
Copyright © 2020, Kaskus Networks, PT Darta Media Indonesia