Pengertian XSS attack,dampak,cara patch bug xss

Mr.XxX
January 18, 2021
1

Assalamualaikum wr.wb,kembali lagi bersama mimin.dalam pertemuan kali ini mimin akan membagikan ilmu lagi ke sobat

Mimin kali ini akan membahas XSS Attack,dan akan mimin kupas tuntas semuanya sampai cara patch bugnya.

Ok langsung saja mimin mulai ya,XSS Attack adalah Serangan yang dilakukan oleh attacker/hacker kepada victim(korban) dengan cara mengeksploitasi website menggunakan kode javascript,HTML,VBscript.

Jenis dari XSS Attack sangatlah banyak dan dampak setiap jenis serangan xss juga berbeda beda.lalu apa aja jenisnya min dan apa dampaknya bagi victim/pun website si admin?

1.XSS STEALING COOKIE

   Yups dari namanya aja sudah terdengar menyeramkan bagi si victim,dari jenis serangan ini si hacker akan membuat sebuah kode javascript yang kemudian kode tersebut disisipkan ke sebuah website kemudian dari dampak penyisipannya ini cookie dari user/pengguna website akan tercuri dan buruknya lagi terhadap admin.website akan sangat mudah dikuasai  oleh attacker tanpa harus melakukan login admin terlebih dulu.

Berikut kode/payload xss stealing cookie:

<script>alert(document.cookie)</script>

Dari payload diatas,kalian bisa menyisipkannya di kotak search,parameter url,atau bisa juga di kolom komentar

2.Reflected XSS

Reflected XSS terjadi ketika script berbahaya dipantulkan dari web aplikasi ke browser korban.

Berikut payloadnya:

<script>alert('XSS by Mr.XxX')</script>

3.Stored XSS/Persistent XSS

   Jenis serangan ini si attacker akan menyisipkan script js yang kemudian script dari xss tersebut akan disimpan di server dan database di website tersebut secara permanent.dari dampak serangan ini.server/database akan menjadi rusak.

Berikut payload dari XSS Persistent:

<img src=xss onerror=alert(MrXxX wus hir)>

Dari hasil output payload akan memunculkan sebuah gambar pecah dengan bertuliskan MrXxX wus hir dan akan tersimpan secara permanent di server website tersebut.

4.DOM based XSS

    Serangan ini terjadi jika web aplikasi menulis data ke Document Object Model (DOM) tanpa sanitization yang tepat. Penyerang dapat memanipulasi data ini untuk memasukkan konten XSS pada halaman web seperti kode Javascript yang berbahaya.


Nah itu adalah jenis²nya dan dampak dari serangan xss bagi si victim maupun website si admin.dan mimin akan membagikan contoh source code yang sangat rentan terhadap serangan xss.berikut adalah source codenya:

<?php 
   $url = $_GET["kata"]; 
   echo $url; 
?>

Dari source code diatas tidak ada filtering terhadap kode html pada urlnya sehingga dapat di eksploitasi menggunakan payload xss.lalu bagaimana cara kita untuk patch bugnya?dengan menambahkan htmlspecialcharacter.berikut penerapan codenya:

<?php 
   $url = $_GET["kata"]; 
   echo htmlspecialchars($url); 
?>


Selesai sudah materi tentang XSS attack.jika ada pertanyaan silahkan bertanya di kolom komentar.dan jangan lupa share materi ini supaya web² indonesia kuat keamanannya

Sekian dari saya wa'Assalammualaikum wr.wb