Mengenal Serangan XSS Beserta Jenis Dan Contohnya
Mengenal Serangan XSS Beserta Jenis Dan Contohnya
Selamat datang di situs saya, pada kesempatan kali ini saya akan membahas tentang Stored XSS. XSS atau Cross Site Scripting merupakan salah satu jenis deface atau serangan code injeksi.yang dimana celah keamanan ini bisa mencuri data-data sensitif dari user, biasanya teknik ini digabungkan dengan teknik social enginering. Kenapa tidak disingkat CSS? Karna CSS sendiri sudah dipakai untuk salah satu bahasa yang digunakan untuk membuat web. XSS ada tiga yang saat ini saya ketahui yaitu Stored Persistent kemudian Reflected XSS/Non-Persistent dan ada Dome Based XSS.
Stored XSS
Adalah celah keamanan XSS dimana input dari user yang diinputkan pada website itu tidak difilter atau tidak ada perlindungan dan dikatakan Store, data yang kita inputkan itu tersimpan di database website atau tersimpan di website itu sendiri, sehingga ketika ada seorang user yang mengunjungi website tersebut dan masih ada data kita disana maka kemungkinan besar dia akan menjadi korban dari scripting ini.
Gambar diatas adalah contoh yang saya ambil dari websitenya imperva.com dimana yang pertama di sini, seorang hacker mendeteksi bahwa ada celah keamanan akses di sini kemudian dia melakukan pengisian form disana yang berisi sebuah script yang berbahaya untuk mencuri sessions cookies dari korbannya. Nah selanjutnya datanya itu tersimpan di website lalu kemudian ada seorang user mengakses website tersebut dan mengakses script yang berbahaya tadi dan akhirnya session si user ini terkirim ke hacker. Dalam kenyataannya Stored XSS ini sangat berharga teman-teman, satu celah keamanan saja bisa dihargai $100 hingga sampai $2000. Untuk membuktikan celah keamanan XSS ini jika teman-teman sedang melakukan test atau melakukan boug bounty program program, teman-teman bisa membuktikan dengan cara menginject pesan alert yang terdapat pada javascript. Kalian bisa inspect Element pada web kemudian klik console. Console ini untuk javascript, biasanya kalau di javascript itu ada namanya fungsi alert nah disana kalian bisa mengeksekusi code javascript disana. Inti XSS sendiri adalah kita bisa mengeksekusi kode javascript disana, kita bisa menginsert script script javascript yang berbahaya di sana dan yang paling gampang untuk membuktikannya adalah dengan pesan alert.
Reflected XSS atau Non-Persistent XSS
Reflected XSS merupakan jenis XSS yang tidak permanent atau akan hilang jika kita refresh halaman atau semacamnya. XSS ini sering dan mudah ditemukan oleh peretas. Para peretas menggunakan teknik social enginering agar web atau apa yang sudah di insertkan dengan code berbahaya dikilik oleh korban lalu peretas dapat mendapatkan data-data penting dari korban, yang kemudian digunakan untuk hal kejahatan oleh peretas. XSS ini biasanya dikerjakan dengan merekayasa url.
Blind XSS
Blind XSS merupakan kelemahan keamanan yang peretas tidak tahu kemana payload tersebut diterima. Karena Payload yang digunakan dikirim ke ssitem dan hanya bisa dilihat oleh sebagian orang dengan hak khusus. XSS jenis ini biasanya terdapat pada form yang hanya bisa akses oleh Admin.
Impact XSS
- Pencurian data session atau cokkies melalui dokumen.cokie
- Membuat web phising dengan javascript
- Serangan pada dos website
- Redirect ke situs yang sudah diisi script
Post a Comment for "Mengenal Serangan XSS Beserta Jenis Dan Contohnya"