Apa XSS itu ?
XSS merupakan kependekan yang digunakan untuk istilah cross site scripting.
XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.(sumber : http://id.wikipedia.org/wiki/Xss)Banyak sekali website indonesia yang meremehkan bug ini dan bug sekecil ini bisa menjadi sangat bahaya jika tidak ditanggulangi oleh admin.Kali ini kita akan mencobawebsite yang vuln terhadap xss attack dan beralamat di : http://www.antaranews.com .ini adalah website berita yang lumayan update.
langsung saja kita menuju pada http://www.antaranews.com.
coba lihat dibagian kotak search website tersebut
Gambar 1.0 Preview website antaranews
Mari kita Inputkan sesuatu kedalam kotak search tadi .saya coba dengan inputkan kata "hai admin"
Gambar 1.1 Test Inputkan kata
nah disitu akan terlihat tampilan hai admin yang telah kita ketikkan di kotak search.Mari kita coba cek apakah website tersebut vuln terhadap XSS attack atau tidak ?
caranya dengan menambah sedikit script html pada kata hai admin.Disini saya coba dengan tambahkan script html berikut pada kotak search seperti ini <marquee>hai admin</marquee>.
Maka akan tampil seperti gambar 1.2 dan tulisan itu berjalan dari arah kanan ke arah kiri.
Gambar 1.2 Preview Marquee
nah ternyata website tersebut vuln terhadap XSS attack .Selanjutnya terserah pada diri anda mau diapakan vuln ini .saya sarankan untuk melaporkan bug ini kepihak admin.semua tindakan anda diluar tanggung jawab saya dan ini hanya pembelajaran semata .
pesan untuk admin : tolong teliti semua sistemmu dan patch jika ada bug,jangan hanya memakan gaji buta dan jangan pernah menyepelekan bug sekecil apapun.
Salam
Me a.k.a death voice
0 comments:
Posting Komentar