Xss adalah Kependekan dari cross site scripting. XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atauclient script code lainnya ke suatu situs. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.
Tipe XSS
Reflected atau nonpersistent
Stored atau persistent
Reflected XSS
Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.
Stored XSS
Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.
Konsep & Cara Kerja
Seperti yang saya jelaskan tadi ” Attacker hanya tinggal memasukan kode ke HTML atau JavaScript, DLL selanjutnya akan di eksekusi oleh client ” .
Konsep XSS AttackSeperti gambar di atas pertama Attacker memasukan Kode lalu di kirim ke server, karna XSS ini Client Side Scripting maka kode akan di eksekusi di Client ( Contoh di Atas adalah Attacker PC ) .
Bagaimana cara melindungi dari serangan XSS?
- Jangan pernah memasukan data tidak terpercaya kecuali di beberapa lokasi yang diiizinkan. - Escape HTML sebelum data tidak terpercaya masuk ke dalam konten elemen HTML. - Escape atribut sebelum data tidak terpercaya masuk ke dalam atribut umum HTML. - Escape JavaScript sebelum data tidak terpercaya masuk ke nilai data JavaScript. - Escape nilai-nilai JSON dalam konteks HTML dan membaca data dengan JSON.parse. - Escape URL sebelum data tidak terpercaya masuk ke dalam nilai parameter URL HTML. - Mengamankan mark-up HTML dengan library. - Pencegahan XSS berbasis DOM. - Gunakan HTTPOnly cookie flag. - Gunakan sistem auto-escaping template dan menerapkan content security policy.
(y)
ReplyDelete