Apa itu XSS (Cross Site Scripting)?

  • Whatsapp
Apa itu XSS (Cross Site Scripting)?
Apa itu XSS Cross Site Scripting
XSS

XSS adalah jenis kerentanan yang sangat umum dieksploitasi yang tersebar sangat luas dan mudah dideteksi dan juga merupakan salah satu kerentanan penting dalam 10 besar OWASP.

Apa itu XSS (Cross Site Scripting)? Sebuah penyerang dapat menyuntikkan potongan JavaScript yang tidak tepercaya ke dalam aplikasi Anda tanpa validasi. JavaScript ini kemudian dieksekusi oleh korban yang mengunjungi situs target. Itu diklasifikasikan menjadi tiga jenis.

  • Tercermin XSS
  • XSS Tersimpan
  • XSS Berbasis DOM

Di Tercermin XSS, penyerang mengirimkan tautan ke aplikasi target kepada korban melalui email, media sosial, dll. Tautan ini memiliki skrip tertanam di dalamnya yang dijalankan saat mengunjungi situs target.

Di XSS Tersimpan, penyerang dapat menanam skrip persisten di situs web target yang akan dijalankan ketika ada orang yang mengunjunginya.

Dengan XSS Berbasis DOM, tidak ada permintaan HTTP yang diperlukan, skrip disuntikkan sebagai hasil dari modifikasi DOM situs target dalam kode sisi klien di browser korban dan kemudian dieksekusi.

Memahami XSS – Pembuatan Skrip Lintas Situs

                               http://test.gbhackers.com/search?q=gbhackers

                                   Searched for <strong>gbhackers</strong>

                                          <script>alert(document.cookie)</script>

Bayangkan kita memiliki URL seperti ini dan kita sedang mencari gbhacker dan itu akan mencerminkan kueri berikut di browser. Kami mempercayai domain dan kami mempercayai sumber daya yang dimasukkan di halaman pencarian, jadi sekarang bagian yang tidak dipercaya gbhacker adalah string kueri yang dimasukkan oleh browser, penyerang dapat memanipulasi nilai apa pun sesuka mereka, misalnya mereka berubah seperti ini . Ini hanya permintaan sederhana untuk memunculkan peringatan di halaman web, jika beberapa meminta halaman situs web penyerang dan lulus document.cookies sebagai parameter di situs web maka penyerang dapat mengumpulkan semua cookie di situs web. Jika mereka punya Cookies asli mereka bisa hanya membajak sesi pengguna.

xss

Potensi risiko tentang Cross Site Scripting

Penyerang dapat berkompromi atau mengambil alih akun pengguna korban dalam aplikasi. Mereka dapat mengambil data dari aplikasi web target, memodifikasi konten pada halaman target, mengarahkan korban ke situs jahat atau spoof lainnya, atau menggunakannya sebagai platform untuk menginstal malware lain pada sistem korban.

Konsekuensi dari salah satu hal di atas dapat berdampak serius pada kemampuan Anda untuk menjalankan bisnis, pelanggan Anda, dan reputasi organisasi Anda.

XSS

Pertahanan terhadap Cross Site Scripting

  • Masukan apa yang kami percayai?
  • Apakah itu mengikuti pola yang diharapkan?
  • Jangan pernah hanya mencerminkan data yang tidak tepercaya.
  • Berlaku juga untuk data dalam database kami.
  • Encoding konteks (Java/attribute/HTML/CSS).

Mempelajari: Menguasai Hacking dengan XSS – Cross Site Scripting

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.