Thursday, May 28, 2020

CROSS SITE SCRIPTING (XSS) : Pengertian, Payload dan Jenis-jenisnya

CROSS SITE SCRIPTING (XSS) : Pengertian, Payload dan Jenis-jenisnya


Pengertian Cross Site Scripting

Cross-Site Scripting atau yang lebih dikenal dengan sebutan XSS merupakan salah satu metode yang di gunakan para attacker untuk menyuntikan kode HTM atau Javascript kedalam sebuah halaman web yang vulnirable terhadap XSS. XSS di bagi menjadi dua, Non Persistent dan Persistent. Xss Non Persistent merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan. Attacker menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. sedangkan XSS Persistent ini merupakan tipe XSS yang lebih berbahaya, yang dapat berakibat pada seluruh pengguna. XSS ini terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada komentar, buku tamu, dll. Attacker memasukkan kode HTML atau Javascript atau code lainnya pada posting mereka. Dengan cara ini attacker bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.


Payload :

  • <script>alert('XSS');</script>
  • <script>alert(document.write())</script>
  • <script>alert(document.domain)</script>

Jenis-jenis Bug XSS

Reflected XSS

Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.

Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.

Stored XSS

Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.

DOM

Atau gabungan antara Reflected dan Stored XSS ,Dimana Serangan ini terjadi jika web aplikasi menulis data ke Document Object Model (DOM) tanpa sanitization yang tepat. Penyerang dapat memanipulasi data ini untuk memasukkan konten XSS pada halaman web seperti kode Javascript yang berbahaya.
Share This :
SUBSCRIBE TO OUR NEWSLETTER

Add Your Comments

bold <b>b</b>
italic <i>i</i>
underline <u>u</u>
HTML<code></code> use Parser

Emoticon
Parser
😊
😉
😀
😁
😎
😍
😜
😑
😇
💖
😯
😱
😭
👍
🍻