Upload
independent
View
0
Download
0
Embed Size (px)
Citation preview
---------------
Tetha Valianta
5213100055
KAI-A
SISFOR-2013
---------------
MELAKUKAN XSS ATTACK
KE WEBSITE TERTENTU
WEBSITE TARGET :
1. http://www.kanda.com/
2. http://www.okezone.com/
METODE YANG DIPAKAI :
A. XSS pada Search
B. XSS Stored
LANGKAH-LANGKAH :
A. METODE XSS “SEARCH” (http://www.kanda.com/) Website ini rentan terhadap XSS salah satunya dengan metode search, hal ini
dibuktikan dengan :
1. Masukkan keyword terserah “HaiJomblo”
2. Search yang kita masukkan tidak ditemukan
3. Coba membuka Inspect Element/Source dari halaman tersebut, dan search
keyword tadi “HaiJomblo”
4. Ternyata keyword tersebut ada dan ditampilkan dalam source dari
halaman website tersebut.
5. Kemudian setelah kata HaiJpmblo tambahkan script berikut :
("><script>alert("YOU HAVE BEEN HACKED BY JOMBLO")</script>),
sehingga hasilnya adalah “HaiJomblo"><script>alert("YOU HAVE BEEN
HACKED BY JOMBLO")</script>”.
6. Setelah itu coba click search maka akan muncul halaman seperti berikut :
7. XSS seperti ini bersifat sementara / temporary, ketika browser di refresh
maka alert seperti itu tidak akan muncul lagi, harus diinputkan kembali.
B. METODE XSS STORED (http://www.okezone.com/) Alasan menggunakan okezone.com adalah website ini memiliki guest book dan
untuk proses registrasi ke dalamnya tidak memerlukan validasi email seperti ini
contohnya :
Kemudian setelah click Sign Up maka hasilnya kita sudah dapat login ke website
tersebut, ini buktinya :
Setelah berhasil login, saatnya beraksi dengan XSS Strored, caranya adalah :
1. Pilih salah satu berita yang menarik “HENGKY KURNIAWAN SIAP NIKAHI
SONYA”
2. Berikan Komentar dengan format source HTML “<b>wow udah gak
jomblo</b>” lalu klik kirim :
Hasilnya adalah membuat tulisan tecetak tebal
3. Tambahkan lagi komentar dengan format source HTML “<h1>Hai
JOMBLO</h1>” lalu klik kirim :
Efeknya adalah membuat tulisan “Hai JOMBLO” tercetak dengan ukuran yang
besar.
4. Tambahkan lagi komentar dengan format source HTML “<marquee>YOU
HAVE BEEN HACKED BY JOMBLO</marquee>” lalu klik kirim :
Efeknya adalah membuat tulisan “YOU HAVE BEEN HACKED BY JOMBLO”
bergerak/berjalan.
5. Tambahkan lagi komentar dengan format source HTML seperti pada gambar
(kotak nomor 5) :
Tujuannya adalah menampilkan gambar tertentu sesuai url yang di masukkan
6. Ini adalah hasil ketika website kita refresh :
MENGATASI XSS ATTACK :
1. XSS Attack dapat dicegah dengan cara menggunakan fungsi PHP, hal ini
didasari pemikiran bahwa user bisa saja melakukan inputan yang
mengandung script :
stript_tag() Fungsinya untuk menghilangkan semua tag HTML dari
inputan user
htmlentities() Fungsi untuk mengganti karakter <dan> menjadi <
dan >
2. Filtering
Menangkal masukan dari client browser dengan mewaspadai karakter-
karakter tertentu, contohnya :
a. Terletak di antara <SCRIPT> dengan </SCRIPT>, titik koma, tanda
kurung, kurung kurawal dan ganti garis.
b. Terletak di dalam isi dari element blok level
“<” : Pembuka tag
“&” : Penanda sebuah entitas
“>” : Penutup tag
3. Validasi/Moderasi
Teknik ini yaitu artinya bahwa hanya inputan dari user yang kita setujui atau
kita validasi/tepat yang akan dipilih dan ditampilkan. Seperti contohnya
terdapat di website berikut :
http://kedirikab.go.id
REFERENSI :
https://hayungku.wordpress.com/2012/05/28/xss-cross-site-scripting/
http://www.diskusiweb.com/discussion/40988/apa-itu-xss-dan-cara-
mengatasinya/p1
http://www.ethic.ninja/2014/10/bagaimana-mengatasi-serangan-xss.html