Mengenal Apa Itu Bug XSS (Cross Site Scripting) Dan Cara Mencegahnya

Mengenal Apa Itu Bug XSS (Cross Site Scripting) Dan Cara Mencegahnya

Bug XSS
Eksploitech - Membahas mengenai masalah cyber crime Memang tidak ada habis-habisnya setiap hari selalu ada saja jenis serangan cyber crime terbaru dan muncul juga cara pencegahannya. saat membuat website apa saja yang kita pikirkan? coding? hosting? atau SEO?, dibalik itu semua pertahanan suatu website juga termasuk suatu kepentingan seorang admin website yang tidak boleh dilupakan, website mu bisa saja Diretas oleh pihak yang tidak bertanggung jawab pada website anda, untuk itu pada artikel kali ini mari kita bahas salah satu bug website yang terkenal yaitu XSS.

apa itu bug XSS?

di dunia pentesting website security terdapat 2 celah/bug yang terkenal di kalangan para bug hunter, 2 bug tersebut adalah XSS & SQL injection. untuk itu jangan pernah anggap remeh bug XSS yang terdapat pada website mu karena hal itu akan menimbulkan kerusakan yang fatal jika sudah mencapai tahap XSS cookies stealing.

kebanyakan client side scripting suatu website menggunakan bahasa javascript, jadi untuk melakukan injeksi XSS anda harus mengetahui bahasa javascript terlebih dahulu. konsep pada serangan injeksi XSS ini hampir sama dengan injeksi SQLI, jika pada SQL injection kita menginjeksi SQL Query sebagai input maka dalam XSS kita menginjeksi suatu kode javascript ke web server.

2 Jenis XSS yang dapat diklasifikasikan

1.Non persistent.

Jenis serangan ini adalah serangan yang simple namun berbahaya jika sudah memasuki tahap serangan cookies thieft, serangan XSS jenis ini bisa dikatakan sebagai jenis serangan XSS secara langsung terhadap url website. biasanya korban akan mengetahui websitenya terkena XSS jika sudah melihat tampilan peringatan berupa pop up.
ingat!! ini hanya bertujuan pembelajaran, segala penyalahgunaan diluar tanggung jawab saya.
contoh serangan dari XSS non persistent.
biasanya hacker akan mengirimkan suatu kode injeksi url simple seperti dibawah ini
index.php?name=guest<script>alert('contoh XSS non persistent')</script>

2. XSS Persistent.

jika pada serangan XSS Non persistent sebelumnya yang menggunakan url website secara langsung maka lain halnya dengan jenis serangan XSS Persistent ini yang menyimpan suatu kode ke dalam Database. kerusakan yang ditimbulkan pada XSS Persistent ini relatif lebih besar ketimbang yang sebelumnya.

pada XSS jenis ini jika si hacker dapat meng-hijack session dengan XSS maka dia akan leluasa berpindah-pindah halaman website admin tanpa harus mengotentikasi dirinya kembali. Dengan kata lain web server tidak akan menanyakan username & password setiap kali user mengirimkan request kepada web server

contoh dari serangan XSS Persistent.

katakanlah disini terdapat 2 akses website, yang pertama admin dan Normal user. lalu untuk melancarkan aksi disini seorang hacker membutuhkan sebuah script.php untuk melancarkan aksinya.

Dengan script tersebut si hacker dapat dengan mudah menerima cookie website jika si admin website sedang lengah. setelah menerima cookie tersebut si hacker dapat menggunakan session ID untuk mengirimkan request kepada web server sebagai admin sampai session expired.

Tools untuk menganalisa vuln XSS pada website

1. sucuri

Tools ini cukup populer untuk pengecekan security, dan yang terpenting adalah gratis. Fitur yang terdapat pada sucuri memungkinkan kita untuk mengetes gangguan malware, injeksi malware, blacklist, SPAM, bahkan Defacements.

2. Qualys SSL labs

SSL labs salah satu Tools yang paling sering digunakan para admin website, Tools ini dapat memungkinkan penggunanya untuk memindai URL https yang termasuk expiration date, Cipher, versi SSL/TLS, simulasi handshake, bahkan rincian protokol.

3. ASAFA WEB

sama seperti Tools sucuri, Tools online ini juga tersedia secara Free. kita hanya memasukkan URL website yang mau di scan selayaknya Tools scanning lainnya, yang perlu dicatat Tidak semua Tools online bisa dipakai secara benar-benar Free.

Kesimpulan

Teknik XSS ini sebenarnya cukup menakutkan, karena dengan cara ini hacker bisa dengan mudah mendapatkan akses admin tanpa waktu yang lama, banyak hal yang bisa kita lakukan dengan bug XSS ini mulai dari hal positif hingga hal negatif sekalipun. untuk itu rajin-rajin lahh menganalisa keamanan website anda.

Anda mungkin menyukai postingan ini