Pengertian Dan Jenis XSS (Cross Site Scripting)


XSS merupakan salah satu jenis serangan injeksi code (code injection attack).

XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs.

Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk cascade style sheet.

Tipe - Tipe XSS (Cross site Scripting)  :

• Reflected XSS

merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna. Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.


Stored XSS

lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka. Serangan ini lebih menakutkan. Mekanisme pertahanannya sama dengan reflected XSS: jika pengguna diizinkan untuk memasukkan data, lakukan validasi sebelum disimpan pada aplikasi.


• Blind XSS

adalah kerentanan xss yang penyerang sendiri tidak mengetahui kemana dan oleh siapa payload xss tersebut diterima. Hal ini terjadi karena payload yang digunakan dikirim ke sistem dan hanya dapat dibaca oleh beberapa orang dengan hak khusus. biasanya xss tipe ini ditemui pada form masukan yang hanya dapat dibaca oleh admin.

Self XSS

hampir Mirip Seperti Reflected XSS namun bedanya Self XSS memerlukan proses yang urut dan hanya berdampak pada diri sendiri. Xss tipe ini biasanya dipadukan dengan clickjacking pada penggunaannya. Biasanya xss jenis ini ditemukan pada form upload.

Komentar

Posting Komentar

Postingan populer dari blog ini

Mengenal Serangan RCE (REMOTE CODE EXECUTION) ATTACK

Gambar
Oke, hari ini gw akan membahas sebuah serangan yg dibilang cukup berbahaya yaitu RCE (Remote Code Execution) Attack. cara ini sering di gunakan pada Attacker untuk melakukan aksi peretasan. Apa itu RCE (Remote Code Execution) Attack? RCE adalah bug yang memungkinkan attacker untuk menjalankan command-command atau perintah secara remote melalui url. Bug ini biasanya terdapat pada aplikasi yg menggunakan cgi. RCE memungkinkan penyerang untuk mengambil alih server dengan menjalankan kode berbahaya yang sewenang-wenang. Dari mereka 68 kerentanan Apache Struts yang diterbitkan, peretas menggunakan ekspresi Object Graph Navigation Language (OGNL) dalam 12 dari mereka. Ini sangat berbahaya karena ekspresi OGNL digunakan pada Apache Struts untuk sebagian besar proses. Para peneliti di Pusat Pertahanan Imperva menganalisis data selama periode tiga bulan dan mencatat lebih dari 40.000 serangan pada kerentanan Apache Struts. Dalam posting blog ini, kami memecah serangan RCE yang menggunakan keren
Baca selengkapnya

Cara Dorking Dan Meracik Dork

Gambar
Oke, kali ini saya akan memberikan penjelasan mengenai Dorking dan Cara meraciknya Dorking sangat berpengaruh dalam proses Deface. Karena jika kita bisa meracik dork sendiri yang belum pernah dipakai orang lain, maka kita akan mendapatkan web yang masih perawan alias Fresh. Oke, langsung kita mulai saja cara meracik dork : • Pertama Pahami dan Ketahui komponen komponen dasar dork Berikut Komponen-Komponen dasar Dork :       • inurl : inurl untuk mencari sumber tujuan yg diinginkan, contoh "inurl:/php?id=?" nahh berarti situs yang dituju adalah situs yg memiliki "php?id=" karena tujuanya ke situ. • intext : Intext adalah isi dari tujuan yg kita tuju, contoh "inurl:/php?id=? intext:error mysql" nahh nanti yg muncul adalah beberapa situs yg error sqlnya yang memiliki halaman php?id= • site : site berguna untuk menentukan nama negara, contoh "inurl:/php?id=? site:.id" nanti yg muncul adalah situs indonesia yg mempunyai halaman "php?id=" Be
Baca selengkapnya

Cara agar artikel tidak bisa di copas

Gambar
indonesianXcode Hai all kembali lagi dengan gua ./BuLLw0Lf_ID, admin cogan dari indonesianXcode;D Nah pernah gak sih buat kalian yang capek2 nulis artikel panjang2 di blog, terus ada orang gak jelas nge copy paste artikel kalian seenaknya?. Kalo iya, rasanya gimana? Gaenak kan?:v. Nah, kali ini gua mau bagiin tips buat kalian para blogger biar artikel klean gak dicuri;). Oke langsung tutup botol eh to the point. 1.Cara pertama (javascript) Nah, cara pertama, saya pakai yang namanya kode javascript nih sahabat:v. Ini kodenya:  <script type="text/javascript"> function disableSelection(target){ if (typeof target.onselectstart!="undefined") //IE route     target.onselectstart=function(){return false} else if (typeof target.style.MozUserSelect!="undefined") //Firefox route     target.style.MozUserSelect="none" else //All other route (ie: Opera)     target.onmousedown=function(){return false} target.style.cursor = "
Baca selengkapnya