---------------

Tetha Valianta

5213100055

KAI-A

SISFOR-2013

---------------

MELAKUKAN XSS ATTACK

KE WEBSITE TERTENTU

WEBSITE TARGET :

1. http://www.kanda.com/

2. http://www.okezone.com/

METODE YANG DIPAKAI :

A. XSS pada Search

B. XSS Stored

LANGKAH-LANGKAH :

A. METODE XSS “SEARCH” (http://www.kanda.com/) Website ini rentan terhadap XSS salah satunya dengan metode search, hal ini

dibuktikan dengan :

1. Masukkan keyword terserah “HaiJomblo”

2. Search yang kita masukkan tidak ditemukan

3. Coba membuka Inspect Element/Source dari halaman tersebut, dan search

keyword tadi “HaiJomblo”

4. Ternyata keyword tersebut ada dan ditampilkan dalam source dari

halaman website tersebut.

5. Kemudian setelah kata HaiJpmblo tambahkan script berikut :

("><script>alert("YOU HAVE BEEN HACKED BY JOMBLO")</script>),

sehingga hasilnya adalah “HaiJomblo"><script>alert("YOU HAVE BEEN

HACKED BY JOMBLO")</script>”.

6. Setelah itu coba click search maka akan muncul halaman seperti berikut :

7. XSS seperti ini bersifat sementara / temporary, ketika browser di refresh

maka alert seperti itu tidak akan muncul lagi, harus diinputkan kembali.

B. METODE XSS STORED (http://www.okezone.com/) Alasan menggunakan okezone.com adalah website ini memiliki guest book dan

untuk proses registrasi ke dalamnya tidak memerlukan validasi email seperti ini

contohnya :

Kemudian setelah click Sign Up maka hasilnya kita sudah dapat login ke website

tersebut, ini buktinya :

Setelah berhasil login, saatnya beraksi dengan XSS Strored, caranya adalah :

1. Pilih salah satu berita yang menarik “HENGKY KURNIAWAN SIAP NIKAHI

SONYA”

2. Berikan Komentar dengan format source HTML “<b>wow udah gak

jomblo</b>” lalu klik kirim :

Hasilnya adalah membuat tulisan tecetak tebal

3. Tambahkan lagi komentar dengan format source HTML “<h1>Hai

JOMBLO</h1>” lalu klik kirim :

Efeknya adalah membuat tulisan “Hai JOMBLO” tercetak dengan ukuran yang

besar.

4. Tambahkan lagi komentar dengan format source HTML “<marquee>YOU

HAVE BEEN HACKED BY JOMBLO</marquee>” lalu klik kirim :

Efeknya adalah membuat tulisan “YOU HAVE BEEN HACKED BY JOMBLO”

bergerak/berjalan.

5. Tambahkan lagi komentar dengan format source HTML seperti pada gambar

(kotak nomor 5) :

Tujuannya adalah menampilkan gambar tertentu sesuai url yang di masukkan

6. Ini adalah hasil ketika website kita refresh :

MENGATASI XSS ATTACK :

1. XSS Attack dapat dicegah dengan cara menggunakan fungsi PHP, hal ini

didasari pemikiran bahwa user bisa saja melakukan inputan yang

mengandung script :

stript_tag() Fungsinya untuk menghilangkan semua tag HTML dari

inputan user

htmlentities() Fungsi untuk mengganti karakter <dan> menjadi &lt;

dan &gt;

2. Filtering

Menangkal masukan dari client browser dengan mewaspadai karakter-

karakter tertentu, contohnya :

a. Terletak di antara <SCRIPT> dengan </SCRIPT>, titik koma, tanda

kurung, kurung kurawal dan ganti garis.

b. Terletak di dalam isi dari element blok level

“<” : Pembuka tag

“&” : Penanda sebuah entitas

“>” : Penutup tag

3. Validasi/Moderasi

Teknik ini yaitu artinya bahwa hanya inputan dari user yang kita setujui atau

kita validasi/tepat yang akan dipilih dan ditampilkan. Seperti contohnya

terdapat di website berikut :

http://kedirikab.go.id

REFERENSI :

https://hayungku.wordpress.com/2012/05/28/xss-cross-site-scripting/

http://www.diskusiweb.com/discussion/40988/apa-itu-xss-dan-cara-

mengatasinya/p1

http://www.ethic.ninja/2014/10/bagaimana-mengatasi-serangan-xss.html