DASAR WEB HACKING

-

XSS

Cross-Site Scripting (XSS) adalah jenis serangan pada aplikasi web dimana penyerang menyisipkan skrip berbahaya ke dalam halaman web yang akan dieksekusi oleh browser pengguna lain. Skrip ini biasanya ditulis dalam JavaScript, tetapi juga bisa menggunakan HTML, VBScript, Flash, atau jenis konten aktif lainnya.

Contoh dari XSS:
Pada contoh file disini terlihat scenario untuk mencoba XSS
Saat di input coding di atas akan mengasilkan seperti ini

Saat kita coba dengan memasukan <script>alert('Hacked!');</script> maka hasilnya akan seperti ini:
Tujuan kita, adalah membuat pop-up tersebut, agar tidak dapat di jalankan, maka kita perlu melakukan perubahan terhadap coding di atas, maka dapat di tambahkan seperti ini:
Maka hasilnya akan seperti ini:

Sudah tidak ada lagi pop-up yang muncul
Dengan menambahkan pada baris if sebuah script:
if (isset($_POST['nama']) && isset($_POST['pesan'])) {
            $name = htmlspecialchars($_POST['nama'], ENT_QUOTES, 'UTF-8');
            $pesan = htmlspecialchars($_POST['pesan'], ENT_QUOTES, 'UTF-8');
            echo "<p><strong>$name</strong>: $pesan</p>";
        }

Penjelasan:

  • Fungsi htmlspecialchars() mengubah karakter khusus seperti &, ", ', <, dan > menjadi entitas HTML yang aman, mencegah eksekusi kode berbahaya.
  • Parameter ENT_QUOTES memastikan bahwa baik tanda kutip tunggal (') maupun ganda (") dikonversi menjadi entitas HTML.
  • UTF-8 adalah pengkodean karakter yang direkomendasikan untuk menghindari masalah dengan berbagai set karakter.

Dampak dari serangan XSS:

  1. Pencurian Data Pengguna: Penyerang dapat mencuri informasi sensitif seperti cookie sesi, data login, atau informasi pribadi.
  2. Pengambilalihan Akun: Penyerang dapat menggunakan cookie yang dicuri untuk mengambil alih akun pengguna.
  3. Distribusi Malware: Penyerang dapat mengarahkan pengguna ke situs berbahaya yang menginstal malware.
  4. Manipulasi Konten Web: Penyerang dapat mengubah konten halaman web untuk menipu pengguna, seperti menampilkan form login palsu (phishing).
  5. Penurunan Kepercayaan Pengguna: Serangan XSS dapat mengurangi kepercayaan pengguna terhadap situs web yang terkena dampak.
  6. Kerugian Finansial dan Reputasi: Serangan XSS dapat menyebabkan kerugian finansial dan merusak reputasi organisasi.

Pencegahan dari serangan XSS:

  1. Validasi dan Penyaringan Input: Memastikan semua input pengguna divalidasi dan disaring dengan benar sebelum diproses atau disimpan.
  2. Enkode Output: Menggunakan enkode yang sesuai saat menampilkan data pengguna kembali ke halaman web untuk mencegah eksekusi skrip.
  3. Content Security Policy (CSP): Menggunakan CSP untuk membatasi sumber daya mana yang dapat dimuat dan dijalankan oleh browser.
  4. Sanitasi Data: Menggunakan library atau fungsi sanitasi untuk membersihkan input pengguna dari karakter atau skrip berbahaya.

Kesimpulan:

Serangan XSS memiliki dampak yang luas dan serius, mulai dari pencurian data pengguna hingga kerusakan reputasi perusahaan. Oleh karena itu, sangat penting bagi pengembang web untuk memahami dan mengimplementasikan langkah-langkah pencegahan yang efektif untuk melindungi aplikasi web mereka dari serangan XSS. Pencegahan yang tepat meliputi validasi dan penyaringan input, penggunaan mekanisme keamanan seperti Content Security Policy (CSP), dan edukasi pengguna tentang praktik keamanan yang baik.

Komentar

Posting Komentar

Postingan populer dari blog ini

Kejawen di Pulau Jawa

-
Gambar
  Gambaran Umum w arisan spiritual dan kepercayaan yang mengakar dalam budaya Jawa, Indonesia. Menyatu dengan aliran-aliran agama besar, kejawen mencerminkan harmoni antara kepercayaan pada roh nenek moyang, keseimbangan antara kekuatan baik dan jahat, serta praktik spiritual seperti meditasi, doa, dan penggunaan mantra. Lebih dari sekadar sistem kepercayaan, kejawen merangkum filsafat kehidupan yang kaya, menawarkan pandangan yang mendalam tentang hubungan antara manusia, alam, dan alam gaib. Sebagai sebuah warisan yang hidup, kejawen terus menjadi sumber inspirasi dan bimbingan bagi masyarakat Jawa dalam menjalani kehidupan yang penuh makna. Apa itu Kejawen? K ejawen adalah sebuah tradisi spiritual Jawa yang mencakup berbagai unsur kepercayaan, filosofi, dan praktik mistis. Ini mencakup konsep-konsep seperti kekuatan alam, roh nenek moyang, dan hubungan antara manusia dengan alam semesta. Sejarah kejawen di Pulau Jawa sangatlah kompleks dan bercabang dari berbagai tradisi lokal, ...
Baca selengkapnya

OSINT

-
  OSINT Open Source Intelligence (OSINT) adalah proses pengumpulan dan analisis informasi yang tersedia  untuk umum dari berbagai sumber terbuka untuk tujuan intelijen. OSINT menggunakan informasi  yang dapat diakses oleh publik dan secara sah, seperti situs web, media sosial, laporan publik, basis  data, dan publikasi lainnya. OSINT digunakan oleh berbagai pihak, termasuk perusahaan,  pemerintah, penegak hukum, dan profesional keamanan siber untuk mengumpulkan informasi yang  relevan dan berharga. Sumber-Sumber OSINT Sumber-sumber OSINT dapat dikategorikan menjadi beberapa jenis, antara lain: 1. Sumber Media:  - Situs berita, artikel, jurnal, dan laporan media. 2. Sumber Internet:  - Situs web perusahaan, blog, forum, dan komunitas online. 3. Media Sosial:  - Platform seperti Facebook, Twitter, LinkedIn, Instagram, dan lainnya. 4. Sumber Pemerintah:  - Laporan publik, data sensus, basis data paten, dan dokumen hukum. 5. Sumber Akademik:...
Baca selengkapnya

Instalasi Mutillidae

-
Gambar
  Instalasi Mutillidae  Pengantar OWASP Mutillidae:  OWASP Mutillidae adalah aplikasi web dengan celah keamanan yang dirancang untuk pendidikan dan pelatihan keamanan aplikasi web oleh OWASP. Tujuan dan Manfaat Pendidikan: Platform untuk belajar kerentanan keamanan. Pengujian Penetrasi: Tempat latihan dalam lingkungan aman. Pengembangan: Membantu pengembang memahami dan mengatasi kelemahan aplikasi web. Fitur Utama Jenis Kerentanan: Contoh seperti SQL Injection, XSS, dan CSRF. Mode Pelatihan dan Tantangan: Untuk belajar dan menguji keterampilan. Dokumentasi: Panduan dan tutorial untuk memahami kerentanan.      4.  Instalasi dan Konfigurasi Pastikasn sudah memiliki virtual box dan kali linux buka browser di kali linux dan download xampp untuk linux lakukan instalasi, dengan membuka terminal pada file manger > download ketikkan 'ls -l' untuk mencari data yg ada masukkan 'sudo chmod +x xampp-linux-x64-8.2.12-0-installer.run', masukan sandi kali m...
Baca selengkapnya