XSS adalah Salah satu jenis serangan web yang dilakukan dengan memanfaatkan kelemahan pada suatu aplikasi web sehingga memungkinkan hacker untuk menginjeksikan suatu tag HTML ataupun Client Side Script pada aplikasi web tersebut dikarenakan adanya variabel yang tidak filter dengan baik. XSS sendiri merupakan singkatan dari Cross Site Scripting.
Banyak administrator yang meremehkan kemampuan serangan XSS karena di anggap tidak berbahaya. Padahal, jika serangan XSS mampu mencapai database, maka semua lalu lintas data akan tersadap.
Untuk dapat melakukan aktifitas hacking seperti ini tidak perlu mempunyai keahlian atau keterampilan khusus tetapi cukup hanya mengerti bahasa HTML atau JavaScript atau VBScript, karena bahasa itulah yang bisa bekerja dengan XSS.
Salah satu cara untuk mengetahui adanya celah kelemahan yang bisa di manfaatkan oleh XSS adalah fasilitas search engine yang ada di sebuah web. Coba memasukkan sebuah keyword, jika tidak di temukan data yang sesuai, maka akan muncul pesan error seperti “No Result found” dan lain sebagainya. Nah, dari pesan error tersebut serangan XSS bisa di mulai.
Masuklah ke sebuah situs yang memiliki fasilitas search, lalu ketik kode berikut <h1><blink>text</blink></h1>. Jika muncul pesan error dengan kata test yang berkedip-kedip, maka situs tersebut bisa di serang dengan XSS. Anda bisa mencoba lagi dengan berbagai macam perintah dasar html untuk proses pengembangan, misalnya <h1><blink><marquee>text</marquee></blink></h1> yang akan menyebabkan kata test berkedip sambil berjalan.
Kode html yang bisa di inject melalui teknik XSS bergantung pada tingkat kelemahan masing-masing situs. Sebagian situs akan merespon kode html tertentu dan sebagian lainnya tidak merespon. Di sini, keuletan dan kecerdasan seorang hacker akan teruji.
Kelanjutan dari serangan XSS ini adalah teknik script injection yang di mana kita bisa merubah tampilan sebuah situs termasuk mencapai merubah file index.html serta menguasai rootnya.
No comments:
Post a Comment