XSS

XSS atau biasa dikenal dengan Cross Site Scripting merupakan sebuah serangan dengan menggunakan code berbahaya pada sebuah aplikasi. Biasanya celah ini dipadukan dengan metode social engineering agar korban membuka alamat atau page yang telah mengandung code berbahaya didalamnya. Salah satu efek dari serangan ini yaitu dapat mengetahui informasi sensitif yang dimiliki oleh orang lain yang membuka kode tersebut.

Cara kerja

XSS sendiri digolongkan menjadi 2 tipe yaitu:

1. Reflected serangan xss ini biasanya memanfaatkan social engineering untuk seseorang mengakses aplikasi berupa alamat yang telah diinjeksi code didalamnya.
2. Stored berbeda dengan reflected, xss stored menggunakan code berbahaya yang disimpan ke server, yang akhirnya ketika terdapat seseorang yang melakukan akses ke menu atau salah satu halaman yang didalamnya menyimpan code tersebut secara otomatis code tersebut akan berjalan di sisi pengguna dan kemungkinan akan mencuri informasinya.

Untuk payload nya sendiri banyak sekali yang dapat digunakan untuk mengecek aplikasi rentan terhadap XSS atau tidak yaitu:

<script>alert(1)</script>

<img src =q onerror=prompt(8)>

"-prompt(1)-" 

dan masih banyak lagi. Berikut merupakan salah satu contoh pengamplikasian serangan xss reflected dengan mengambil nilai document.cookie pada sisi pengguna yang membukanya.

XSS Reflected

Pencegahan
Dalam melakukan pencegahan dapat menggunakan validasi untuk menghilangkan html tag pada nilai yang akan dijalankan nantinya. Dapat juga menggunakan function bawaan seperti strips_tags yang ada pada bahasa pemrograman PHP dan masih banyak lagi.

Kesimpulan
Celah keamanan ini cukup berbahaya termasuk XSS stored karena dengan code yang disimpan ke server, membuat pengguna lain yang membukanya dapat dicuri informasinya.

Untuk lebih jelasnya teman-teman dapat berkomentar dibawah ini, terimakasih. Admin@zi