alexa-tracking
Kategori
Kategori
Pengumuman! KASKUS punya fitur baru: MENTION! Berkomunitas jadi makin seru! Cekidot!
Home / FORUM / All / Tech / Computer Stuff /
Teknik XSS Mengancam Website Anda
4.9 stars - based on 10 vote 5 stars 0 stars
1024
1024
KASKUS
51
244
https://www.kaskus.co.id/thread/5cd6eeadf4d69501390609e0/teknik-xss-mengancam-website-anda

Teknik XSS Mengancam Website Anda

WILUJENG SUMPING DI THREAD DEDE ENDANG

Ada sebuah teknik hacking yang cukup mencuri perhatian saya untuk di bahas. Yaitu XSS.

Banyak orang yang meremehkan teknik hacking yang satu ini. yang sebenarnya sangat berbahaya (menurut saya).  Dari mulai hanya buat iseng2 saja. sampe memungkinkan penyerang mencuri Session korban.

Ok kita akan mulai thread ini dengan pengertian XSS terlebih dahulu yang saya ambil dari Wikipedia Indonesia.


Quote:




Kenapa singkatan nya XSS bukan CSS? karena CSS sudah digunakan untuk Cascading Style Sheet.

Dari penjelasan di atas bisa kita ambil kesimpulan bahwa teknik XSS merupakan teknik hacking yang memanfaatkan form yang ada pada suatu situs untuk memasukan script. Seperti HTML,Javascript dll. namun setau saya kebanyakan serangan ini menggunakan script Javascript.CMIIW


Quote:



Apa Yang Bisa Dilakukan Oleh XSS?


Tentu jika ditanya seperti itu. saya hanya akan menjawab Buanyak. Karena memang teknik XSS ini memiliki banyak sekali variasi.

Mulai dari iseng menampilkan sebuah alert pada sebuah situs hanya untuk mengerjai pengunjung situs, Mencuri Session dll.

Sebenarnya XSS Ini hanya akan berhasil jika situs tersebut memiliki fitur untuk menampilkan kembali isian form ke web browser, seperti yang terdapat di dalam form komentar.


Sedangkan HTML injection adalah istilah yang lebih spesifik kepada cara ’menyisipkan’ kode HTML ke dalam sebuah situs. Namun kita fokus terhadap XSS saja ya. karena saya tidak mau menulis terlalu panjang.

Sebagai contoh mari kita praktekan.
saya akan menginput script di bawah.

[removed]alert('Situs anda telah saya hack!!!, hahaha...')[removed]


Teknik XSS Mengancam Website Anda

Di atas adalah sebuah halaman sederhana yang saya input script di atas. ketika saya meng-klik proses data maka akan tampil seperti di bawah.




Teknik XSS Mengancam Website Anda

Tampilan di atas adalah hasil dari kode JavaScript yang baru saja saya input melalui form. Kode ini dapat berjalan karena pada halaman index.php saya langsung menampilkan data yang diinput oleh user tanpa melakukan proses filter lebih lanjut.

Hal ini sangat berbahaya, karena dengan kode JavaScript seseorang bisa melakukan ’hampir segalanya’ dengan situs kita.Tidak hanya sekedar menampilkan pesan seperti kode di atas, tetapi juga bisa mengubah background, tampilan seluruh web, bahkan mengarahkan pengunjung ke situs lain (redirect).

Cukup mengerikan bukan? sebagai seorang developer web tentu harus faham betul terhadap teknik-teknik hacking seperti ini. agar bisa mengantisipasinya.


Tipe XSS


Reflected atau nonpersistent
Stored atau persistent

Reflected XSS
Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.

Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.

Stored XSS
Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.
Serangan ini lebih menakutkan. Mekanisme pertahanannya sama dengan reflected XSS: jika pengguna diizinkan untuk memasukkan data, lakukan validasi sebelum disimpan pada aplikasi..


Pencegahan

Lalu bagaimana pencegahan untuk menghindari serangan ini?

Salah satunya dengan memanfaatkan Sebuah Function yang disediakan oleh PHP (jika situs tersebut memang di tulis menggunakan PHP). seperti function htmlspecialchars(), htmlentities() atau strip_tags().

Saya tidak bisa menjelaskan tentang function-function di atas. karena agak komplek. dan saya juga sudah cukup lelah menulis.

Karena banyak nya variasi dari serangan ini. pencegahan nya pun sulit-sulit gampang. kenapa sulit-sulit gampang? udah kepanjangan thread nya. semoga ada suhu yang ikut nimbrung supaya bisa belajar.

Mungkin Cukup sekian thread saya untuk kali ini. semoga bisa difahami. jika belum faham silahkan baca sampe faham. atau bertanya di komentar. dan jika ada salah dalam hal penjelsan, kata-kata. mohon di maklum karena saya juga masih belajar.


                                                  emoticon-Rate 5 Staremoticon-Rate 5 Staremoticon-Rate 5 Star
                                                emoticon-Cendol Ganemoticon-Cendol Ganemoticon-Cendol Gan
Kalo bermanfaat share ya gan. 
Terima kasih.
Sekian.

Sumur 1

Sumur 2

Sumur 3


profile-picture
profile-picture
profile-picture
genderwoo dan 13 lainnya memberi reputasi
Diubah oleh kaskus.infoforum
Beri apresiasi terhadap thread ini Gan!
Halaman 1 dari 4
Sama aja nih gan kaya SQL Injection.
profile-picture
profile-picture
BeRightBack. dan jmontefiore memberi reputasi
Post ini telah dihapus oleh Kaskus Support 15
wah ngga ngerti beginian nih NENG ELLA
ikut nyimak aja


Teknik XSS Mengancam Website Anda
Diubah oleh fellgrey
kurang paham ane bginian emoticon-Cape d...
Apaan yak ?
Waduh bahaya nih emoticon-Takut
Wuih pernah ane coba pas ada tugas kampus
learning by doing brrti ini
duh nakutin nih kudu semakin ati2 aja nih
emoticon-Malu
kangen hp esia hidayah, emoticon-sad
profile-picture
jinzflix memberi reputasi
lgi rame nih nyari bug ginian emoticon-Ngakak (S)
profile-picture
entewasir memberi reputasi
Kurang paham ginian gan.. Thanks infonya nanti ane baca lbh detail

tukang parkir

Berarti formnya ngga divalidasi gan.. semua metode get atau apapun yg berpotensi bisa diXSS best practicenya divalidasi sama dilakukan strip tag
profile-picture
kupritkeriting memberi reputasi
Noted, nice inpo
Kalo mnurut ane nih, xss udah di atasi sama php framework. Tiap update dia ngasih bugfix. Kek laravel, cara ini udah g berfungsi. Tp g tau kalo ada tekhnik lainnya. Karna emg g ada sistem yang sempurna. Kalo yg CI ane blum pernah pake sih. Ada yang sempat ngalamin? Sharing pengalaman aja. Kalo yg via php native, kemungkinan besar masih bs jalan
profile-picture
profile-picture
kupritkeriting dan budyglory memberi reputasi
Ijin ninggalin jejak dulu gan emoticon-Malu
ngeri juga y
Web pemerintah ane sering nemu nih bug XSS
Balasan post ilhams01
Kalo CI ada gan, biasanya di form input pencarian gitu, tergantung juga sih ga semua website framework CI bisa di XSS, palingan nemu ya hoki doangemoticon-Ngakak
last mas biar cepet walik
Halaman 1 dari 4


GDP Network
© 2019 KASKUS, PT Darta Media Indonesia. All rights reserved
Ikuti KASKUS di