CROSS SITE SCRIPTING (XSS) : Pengertian, Payload dan Jenis-jenisnya
May 28, 2020
Add Comment
Pengertian Cross Site Scripting
Cross-Site Scripting atau yang lebih dikenal dengan sebutan XSS merupakan salah satu metode yang di gunakan para attacker untuk menyuntikan kode HTM atau Javascript kedalam sebuah halaman web yang vulnirable terhadap XSS. XSS di bagi menjadi dua, Non Persistent dan Persistent. Xss Non Persistent merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan. Attacker menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. sedangkan XSS Persistent ini merupakan tipe XSS yang lebih berbahaya, yang dapat berakibat pada seluruh pengguna. XSS ini terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada komentar, buku tamu, dll. Attacker memasukkan kode HTML atau Javascript atau code lainnya pada posting mereka. Dengan cara ini attacker bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.
Payload :
- <script>alert('XSS');</script>
- <script>alert(document.write())</script>
- <script>alert(document.domain)</script>
Jenis-jenis Bug XSS
Reflected XSS
Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.
Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.
Stored XSS
Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.
Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.
Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.
Stored XSS
Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.
DOM
Atau gabungan antara Reflected dan Stored XSS ,Dimana Serangan ini terjadi jika web aplikasi menulis data ke Document Object
Model (DOM) tanpa sanitization yang tepat. Penyerang dapat memanipulasi
data ini untuk memasukkan konten XSS pada halaman web seperti kode
Javascript yang berbahaya.