Pengertian XSS,Serangan,dan Cara Mencegah Serangan XSS

Xss,Serangan,Pencegahan

Yaps kembali lagi bersama saya si tamvan😎 pemberani,sebelumnya ada yang kangen gak? Dah beberapa hari nih gak update,sebelumnya saya minta maaf karena ada kesibukan lain,dan sebenernya ini konten lama,kemudian saya draf dan remake sedemikian rupa untuk memperbaiki kualitas kontennya.Oke,jadi saya akan menjelaskan sedikit tentang apa itu xss,contoh serangan,dan cara mempatch bug xss,simak semua langkahnya ya.

• Pengenalan XSS

XSS atau Cross Site Scripting merupakan salah satu jenis serangan yang berbahaya dan paling banyak ditemukan di website manapun seperti google, facebook, Amazon, Paypal, dll. Jika anda cek laporan bug pada masing-masing website tersebut maka sebagian besar melaporkan serangan XSS.

Anda mungkin berpikiran kenapa Cross-site scripting itu disingkat jadi XSS bukannya CSS? jawabnya adalah karena CSS sudah lebih familiar pada dunia desain web yaitu Cascading Style Sheet, maka dipilihlah XSS agar tidak menjadi rancu.Sedangkan penjelasan mengenai XSS adalah suatu jenis serangan web dimana penyerang berusaha untuk menyisipkan script yang berisikan kode jahat terhadap suatu website untuk menjalankan suatu perintah.

• Klasifikasi XSS

1.  Stored XSS: Adalah suatu serangan dimana si penyerang memasukan kode injeksi berbahaya.Misalnya,si penyerang mendaftar akun sebagai user dan memasukan kode payload atau injeksi pada bagian form pendaftaran seperti di username,email,atau password,nah jika website nya rentan maka otomatis kodenya akan berjalan dan muncul secara publik.
2. Reflected XSS: Adalah suatu serangan yang sama seperti stored xss namun bedanya misal: Si penyerang menginjeksi pada bagian parameter url pencarian atau bisa juga pada kolom pencarian dan si penyerang harus mengirimkan kode hasil injeksinya ke si korban jika hasil serangannya tersebut dilihat oleh sikorban dan sipenyerang bisa mengexploitasi sesuatu yang ada.

• Payload

Oke,kita coba simulasi nya dengan beberapa payload yang udah saya siapkan:

<script>alert(document.domain)</script>      <script>prompt(document.cookie)</script>

• Source Code

Sebelum itu kita siapkan terlebih dahulu website yang sudah kita siapkan untuk simulasi ini.

<?php 

   $url = $_GET["sundaxploit"]; 

   echo $url; 

?>

Copy code nya lalu masukan ke script,dan upload ke website/localhost.Disini saya sudah siapkan website untuk simulasinya:

• Exploiting and Attack (Reflected Xss)

tambahkan Exploit dibelakang nya:

 Url.com/?sundaxploit=PAYLOAD

Contoh:

              ?sundaxploit=<script>prompt('sundaxploit',document.cookie)</script>

• Patch Bugs

Silahkan kalian boleh coba-coba payload kalian disini,oke ketahap selanjutnya cara mem patch bug xss dengan cara sederhana dan praktis.Caranya adalah dengan menambahakan htmlspecialchars() di script nya seperti dibawah ini:

<?php 

   $url = $_GET["sundaxploit"]; 

   echo htmlspecialchars($url); 

?>




lalu kalian save dan jalankan,kemudian lihat hasilnya:

• Before Patch

• After Patch

Nah kira kira seperti itu simulasi dan cara kerjanya.Oke sekian dari saya,mohon maaf bila ada kesalahan,terimakasih telah berkunjung,dan sampai jumpa di next konten selanjutnya woke..