Apakah itu XSS (Cross Site Scripting) ?

Posted by Tedi Setiadi at 08:21 Labels:

XSS (Cross Site Scripting) adalah salah satu metode untuk mengeksploitasi suatu sistem . Kebanyakan kesalahannya ada pada penulisan scripting pada halaman web tersebut yang mengijinkan beberapa karakter tertentu dijalankan pada situs tersebut.

Metode eksploitasi yang dipaparkan disini adalah dengan cara memanipulasi pemanggilan form atau menu yang ada pada halaman situs target. Biasanya waktu kita masuk pada sebuah halaman web, yang pertama kita lihat pastilah halaman utamanya atau menu utama dari situs tersebut. Di menu utama atau halaman utama tersebut biasanya terdapat link-link untuk masuk ke halaman yang lebih dalam. Untuk mengetahui apa yang akan dipanggil pada saat link tersebut kita klik yaitu lihat di scroolbar yang ada dibawah pojok sebelah kiri pada browser anda. Biasanya seperti ini :
Contoh
http://target.com/index.html?menu=
http://target.com/index.html?menu=

ME FOUND BUG

[+] Setiap kita membuka suatu halaman web, kita mengirimkan suatu permintaan kepada server tersebut. Jika permintaan kita terdapat di server, maka browser akan menampilkan halaman yang kita minta tersebut. Tetapi jika mengirimkan permintaan dalam bentuk script apakah yang terjadi ???? Yang terjadi adalah server berusaha mencari permintaan kita, jika memang di server tidak ada maka permintaan kita akan ditampilkan di browser kita

[+] *Script yang bisa digunakan untuk XSS adalah :

  • -> HTML
  • -> JavaScript
  • -> VBScript
  • -> Active X
  • -> Flash

Pencegahan Dengan cara memfilter atau dengan kata lain, server tersebut sudah di setting agar tidak melayani permintaan yang mengandung beberapa karakter seperti berikut :
Char ; / ? : @ = & < > “ #
Code %3b %2f %3f %3a %40 %3d %26 %3c %3e %22 %23

Char { } | \ ^ ~ [ ] ` % ‘
Code %7b %7d %7c %5c %5e %7e %5b %5d %60 %25 %27

Jadi Kunci utama pada XSS yaitu user dapat memasukkan data melalui input form (contohnya input form seperti kita akan mem-posting sesuatu di forum) yang kemudian akan ditampilkan kemudian oleh user lain atau user itu sendiri. Kalau si programmer nya tidak memfilter tags elemen HTML atau tanda bahasa pemrograman lain ya dengan mudah akan bisa di cross site scripting.

Friday, 5 September 2008

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)