Scribd
Unggah
410 tayangan20 halaman

XSS

uyhyh uhu hu hi hhuihuuhuih hih uh i jijijij h gyug iuh

Diunggah oleh

Yulian Safarudin
Hak Cipta
© © All Rights Reserved
Kami menangani hak cipta konten dengan serius. Jika Anda merasa konten ini milik Anda, ajukan klaim di sini.
Format Tersedia
Unduh sebagai PPTX, PDF, TXT atau baca online di Scribd
410 tayangan20 halaman

XSS

uyhyh uhu hu hi hhuihuuhuih hih uh i jijijij h gyug iuh

Diunggah oleh

Yulian Safarudin
Hak Cipta
© © All Rights Reserved
Kami menangani hak cipta konten dengan serius. Jika Anda merasa konten ini milik Anda, ajukan klaim di sini.
Format Tersedia
Unduh sebagai PPTX, PDF, TXT atau baca online di Scribd
Anda di halaman 1/ 20

XSS

PENYERANGAN
DAN PERTAHANANNYA

APA ITU XSS?

XSSMERUPAKAN
KEPENDEKAN
YANG
DIGUNAKAN UNTUK ISTILAHCROSS SITE
SCRIPTING.
XSS
MERUPAKAN
SALAH
SATU
JENIS
SERANGAN INJEKSI CODE(CODE INJECTION
ATTACK). XSS DILAKUKAN OLEH PENYERANG
DENGAN CARA MEMASUKKAN KODEHTML
ATAUCLIENT SCRIPT CODELAINNYA KE
SUATU SITUS. SERANGAN INI AKAN SEOLAHOLAH DATANG DARI SITUS TERSEBUT. AKIBAT
SERANGAN
INI
PENYERANG
BISA
MENDAPATKAN INFORMASI SENSITIF SEPERTI
USERNAME DAN PASSWORD

APA PENYEBABNYA???

PENYEBAB MENDASAR ADALAH


BAHWA BANYAK HALAMAN WEB
MENAMPILKAN INPUT YANG TIDAK
DIVALIDASI. JIKA MASUKAN TIDAK
DIVALIDASI, SCRIPT BERBAHAYA
DAPAT TERTANAM DALAM INPUT. JIKA
SCRIPT SISI SERVER KEMUDIAN
MENAMPILKAN MASUKAN NONDIVALIDASI INI, SCRIPT BERJALAN
PADA BROWSER SEOLAH-OLAH SITUS
YANG MENGHASILKAN ITU.

SOURCE : HTTP://WWW.ACUNETIX.COM/WEBSITESECURITY/CROSS-SITE-SCRIPTING/

TIPE XSS
REFLECTEDATAUNONPERSISTENT
STOREDATAUPERSISTENT

REFLECTED ATAU NON-PERSISTENT XSS


REFLECTED XSS MERUPAKAN TIPE XSS YANG PALING
UMUM DAN YANG PALING MUDAH DILAKUKAN OLEH
PENYERANG. PENYERANG MENGGUNAKANSOCIAL
ENGINEERINGAGAR TAUTAN DENGAN KODE
BERBAHAYA INI DIKLIK OLEH PENGGUNA. DENGAN
CARA INI PENYERANG BISA
MENDAPATKANCOOKIEPENGGUNA YANG BISA
DIGUNAKAN SELANJUTNYA UNTUK
MEMBAJAKSESSIONPENGGUNA.

CONTOH NON-PERSISTENT
XSS
HTTP://TEST.SEARCHENGINE.COM/SEARCH.PHP?Q=
%3CSCRIPT%3EALERT%28%91THIS%20IS%20AN
%20XSS%20VULNERABILITY%92%29%3C%2FSCRIPT
%3E

STORED ATAU PERSISTENT XSS

STORED XSS TERJADI SAAT PENGGUNA DIIZINKAN UNTUK


MEMASUKKAN DATA YANG AKAN DITAMPILKAN KEMBALI.
CONTOHNYA ADALAH PADAMESSAGE BOARD, BUKU TAMU,
DLL. PENYERANG MEMASUKKAN KODE HTML ATAUCLIENT
SCRIPT CODELAINNYA PADA POSTING MEREKA.
PERSISTENT XSS TERJADI KETIKA PENGEMBANG MENYIMPAN
DATA INPUT PENGGUNA KE SERVER DATABASE ATAU HANYA
MENULIS DALAM SEBUAH FILE TANPA FILTRASI YANG TEPAT,
KEMUDIAN MENGIRIMKAN DATA INPUTAN TERSEBUT KEMBALI
KE BROWSER KLIEN.

CONTOH STORED ATAU


PERSISTENT XSS
<?PHP
$COMMENT=$_POST[COMMENT];
$QUERY=MYSQL_QUERY(INSERT INTO
TBCOMMENT(COMMENT)
VALUES($COMMENT));
?>

HALAMAN WEB YANG SEPERTI APA YANG


BERESIKO????

PADA DASARNYA, MASALAH DIPENGARUHI OLEH


PEMBUATAN HALAMAN DINAMIS YANG MEMPUNYAI
INPUTAN YANG TIDAK DIVALIDASI.
CONTOH HALAMAN WEB YANG BERESIKO TERKENA
SERANGAN XSS:
SEARCH ENGINE YANG MENGEMBALIKAN HALAMAN
HASIL BERDASARKAN INPUT PENGGUNA.
HALAMAN LOGIN YANG MENYIMPAN ACCOUNT
PENGGUNA DALAM DATABASE DAN KEMUDIAN
MENULIS NAMA PENGGUNA KE KLIEN.

BAGAIMANA CARA MENCEGAHNYA

MEMBUAT FILTER XSS UNTUK


PENCEGAHAN
ENCODE SEMUA KARAKTER SPESIAL SEPERTI CONTOH BERIKUT:
& > &AMP;
< > &LT;
> > &GT;
> &QUOT;
> &#X27;
/ > &#X2F;
UNTUK INI, ANDA DAPAT MENGGUNAKAN FUNGSI HTMLSPECIALCHARS() DALAM
PHP. IA MENGKODEKAN SEMUA TAG HTML DAN KARAKTER KHUSUS.
CONTOH
$ INPUT = HTMLSPECIALCHARS ($ INPUT, ENT_QUOTES);
JIKA $ INPUT ADALAH = "> <SCRIPT> ALERT (1) </ SCRIPT>
FUNGSI INI AKAN MENGUBAHNYA MENJADI & QUOT; & GT; & LT; SCRIPT YANG &
GT; PROMPT (1) & LT; / SCRIPT & GT;

OPEN SOURCE LIBRARIES UNTUK MENCEGAH


SERANGAN XSS
PHP ANTIXSS
HTTPS://CODE.GOOGLE.COM/P/PHP-ANTIXSS/
XSS_CLEAN.PHP FILTER
HTTPS://GIST.GITHUB.COM/MBIJON/1098477
HTML PURIFIER
HTTP://HTMLPURIFIER.ORG/
XSS HTML FILTER
HTTP://FINN-NO.GITHUB.IO/XSS-HTML-FILTER/

KESIMPULAN

CROSS-SITE SCRIPTING ADALAH SALAH SATU KERENTANAN SITUS WEB


YANG PALING BERBAHAYA. HAL INI DIGUNAKAN DALAM BERBAGAI CARA
UNTUK MENYERANG PENGGUNA SITUS. SEBAGIAN BESAR DIGUNAKAN
UNTUK MELAKUKAN SERANGAN PEMBAJAKAN SESI.
XSS DAPAT DICEGAH DENGAN FILTER TETAPI ITU TIDAK MENJAMIN 100%
AMAN KARENA HACKER SELALU MENEMUKAN CARA UNTUK
MEMATAHKAN KEAMANAN FILTER
JIKA INGIN MEMBUAT FILTER XSS YANG SULIT UNTUK DITEMBUS,
PELAJARI CELAH XSS YANG ADA. KEMUDIAN MEMBUAT DAFTAR
BERBAGAI JENIS POLA SERANGAN. MENGANALISIS DAFTAR DAN KODE
FUNGSI UNTUK MENGIDENTIFIKASI POLA SERANGAN DAN MEMBLOKIR
SERANGAN.
SEBAGAI PEMILIK WEBSITE ATAU PENGEMBANG WEB, ADALAH
TANGGUNG JAWAB PEMILIK WEBSITE ATAU PENGEMBANG WEB UNTUK
MEMBUAT APLIKASI YANG AMAN YANG MELINDUNGI DATA PENGGUNA,
SEHINGGA PEMILIK WEBSITE ATAU PENGEMBANG WEB HARUS
MENEMUKAN DAN MELAKUKAN PATCH TERHADAP KERENTANAN

REFERENSI
HTTP://ID.WIKIPEDIA.ORG/WIKI/XSS
HTTP://
WWW.EXPLOIT-DB.COM/WP-CONTENT/THEMES/EXPLOIT/DOCS/18895.
PDF
HTTP://WWW.ACUNETIX.COM/WEBSITESECURITY/CROSS-SITE-SCRIPTI
NG
/
HTTP://SUPPORT2.MICROSOFT.COM/KB/252985
HTTP://RESOURCES.INFOSECINSTITUTE.COM/HOW-TO-PREVENTCROSS-SITE-SCRIPTING-ATTACKS/

SEKIAN
TERIMA KASIH

Anda mungkin juga menyukai