Pengertian XSS

Post By, Afrizal Tanggal, 05-10-2018 13:45:03


Pengertian XSS
 



kependekan dari Cross Site Scripting. XSS merupakan salah satu teknik hacking dimana sang penyerang memasukan client script seperti HTML dan JavaScript ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut.

XSS memanfaatkan keteledoran sang pemilik situs disaat pembuatan kode program di mana sang pembuat situs tidak memvalidasi kode yang ia buat.

Seperti kita tahu dengan kemampuan HTML dan JavaScript saja kita bisa mengubah seluruh tampilan situs milik orang lain. Namun itu hanya berlaku pada sisi client saja dalam kasus ini pada web browser yang berarti tidak akan perpengaruh terhadap server. Dan juga hanya akan berpengaruh terhadap web browser sang penyerang saja.

Namun seperti yang sudah saya bahas pada thread saya yang berjudul Hacker Adalah Seniman. Jika sang penyerang menghias kode yang ingin ia sisipkan. Maka bisa jadi semua pengunjung situs tersebut akan mengalami pengaruh nya.

Dengan sedikit seni saja sang penyerang mampu mencuri cookie dari pengunjung dimana cookie tersebut dimanfaatkan untuk membajak session pengguna. Biasanya XSS menyerang situs yang menggunakan metode GET pada form inputan. Sedangkan metode POST mungkin akan lebih rumit untuk diexploitasi.


Tipe XSS

Reflected atau nonpersistent
Stored atau persistent
Reflected XSS

Reflected XSS ini biasa nya akan penyerang bungkus dengan teknik social engginering. Dimana berharap bahwa pengunjung lain akan mengklik link yang sudah ia modifikasi untuk mencuri cookie dan membajak session.

jika agan nggak tau apa itu cookie akan saya gambarkan sedikit.
cookie itu adalah informasi yang dikirimkan oleh server ke client yang kemudian dikirimkan kembali ke server untuk me request. cookie itu menyimpan kebiasaan kita dalam berinternet. 

Stored XSS

Stored XSS mungkin akan jarang ditemui. namun dampak dari serangannya jauh lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Misalnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.

Cara mencegah XSS
 



Seperti yang saya jelaskan di atas bahwa XSS merupakan serangan yang memanfaatkan keteledoran sang pembuat situs ketika melakukan validasi kode.

Mungkin bagi agan-agan yang belum pernah mempelajari bahasa program berbasis server-side akan agak susah memahami nya.

Jika situs agan terbuat dari php. Php memiliki 2 fungsi untuk menangkal serangan hantu yang dinamakan XSS ini.

Yaitu:
htmlspecialchars() dan strip_tags().
Dimana kedua fungsi tersebut akan berguna untuk membuat karakter-karakter dalam HTML dan Javascript diubah menjadi named entity. Seperti mengubah karakter "<" menjadi "<".

Jadi ketika ada seorang hacker yang mencoba menyisipkan kode HTML ataupun Javascript ke situs agan fungsi tersebut akan mengkonversinya menjadi named entity. Sehingga script yang dimasukan pun Akan menjadi tidak berguna.

semoga bisa bermanfaat.

 EMAIL  WHATSAPP