Rabu, 16 Juli 2014

Hai, apa kabar sobat blogger :D ketemu lagi dengan say, jangan bosen2 ya hehe
Pada kesempatan kali ini, saya akan berbagi wawasan dengan sobat blogger mengenai XSS. What ? XSS ? Makanan macem apa lagi tuh ?
Nah, pada penasaran kan apa itu XSS ? Yuk simak baik2 postingan ini ya, selamat membaca :D

Apa itu XSS (Cross Site Scripting) ?

Cross Site Scripting adalah Kelemahan keamanan yang terjadi pada penggunaan teknologi dynamic page. Cross Site Scripting dapat diartikan sebagai kelemahan yang terjadi akibat ketidakmampuan server dalam memvalidasi input yang diberikan oleh pengguna. Algoritma, yang digunakan untuk pembuatan halaman yang diinginkan, tidak mampu melakukan penyaringan terhadap masukkan tersebut. Hal ini memungkinkan halaman yang dihasilkan menyertakan perintah yang sebenarnya tidak diperbolehkan.  Cross Site Scripting merupakan kelemahan yang populer untuk dieksploitasi. Namun sayangnya, banyak penyedia layanan yang tidak mengakui kelemahan tersebut dan melakukan perubahan pada sistem yang mereka gunakan. Citra penyedia layanan merupakan harga yang dipertaruhkan ketika mereka mengakui kelemahan tersebut. Sayangnya dengan tindakan ini konsumen atau pengguna menjadi pihak yang dirugikan.

Cara Kerja Cross Site Scripting

Cross Site Scripting bekerja bak penipu dengan kedok yang mampu mengelabui  orang yang tidak waspada. Elemen penting dari keberhasilan Cross Site Scripting adalah Social Engineering yang baik dari si penipu. Social Engineering merupakan elemen terpenting yang menentukan keberhasilan penipuan yang akan dilakukan. Cross Site Scripting memampukan seseorang yang tidak bertanggungjawab melakukan penyalahgunaan informasi penting.

Sebelum sampai pada proses penyalahgunaan tersebut, penyerang mengambil langkah-langkah dengan mengikuti pola tertentu.

Langkah Pertama :

Penyerang melakukan pengamatan untuk mencari web-web yang memiliki kelemahan Cross Site Scripting.

Langkah Kedua :

Sang penyerang mencari tahu apakah web tersebut menerbitkan informasi yang dapat digunakan untuk melakukan pencurian infomasi lebih lanjut. Informasi tersebut biasanya berupa cookie. Langkah kedua ini tidak selalu dijalankan.

Langkah Ketiga :

Sang penyerang membujuk korban untuk mengikuti sebuah link yang mengandung kode, ditujukan untuk mendapatkan informasi yang telah disebutkan sebelumnya. Kemampuan Social Engineering dari sang penyerang diuji disini. Setelah mendapatkan informasi tersebut, sang penyerang melakukan langkah terakhir, pencurian maupun pengubahan informasi vital.

Berikut merupakan contoh kasus dari Cross Site Scripting. Anggap sebuah penyedia layanan message board, A, memiliki kelemahan Cross Site Scripting. Web tersebut juga menghasilkan cookie. Cookie tersebut bertujuan agar pengguna dapat membuka jendela browser baru tanpa memasukkan user name dan password lagi. B, mencoba untuk mengeksploitasi kelemahan ini, meletakkan sebuah link yang mengandung kode yang “jahat” pada message board tersebut. C, seorang pengguna, tertarik pada link tersebut menekan link tersebut. Tanpa disadari C, cookie yang terdapat pada komputernya telah dikirimkan ke komputer B. Kini B dapat mengakses message board sebagai C hanya dengan menggantikan cookienya dengan cookie yang ia dapatkan dari C. Gambar di bawah ini menunjukkan alur dari kejadian tersebut.

Informasi Yang Diterbitkan Penyedia Layanan

Pengecekan ini dilakukan ketika penyerang bertujuan untuk melakukan penyalahguanaan informasi pengguna. Seperti telah disebutkan sebelumnya, informasi yang sering diperiksa adalah cookie. Penyerang dapat melakukan ini dengan terlebih dahulu mendaftar sebagai salah satu pengguna. Penyerang akan memeriksa informasi apa yang terdapat pada cookie tersebut. Apakah cookie tersebut dapat digunakan untuk mengelabuhi server.  Tidak semua proses eksploitasi ditujukan pada penyalahgunaan informasi pengguna. Terdapat juga tipe eksploitasi yang ditujukan untuk “mengubah” isi dari informasi atau iklan yang ditampilkan. Tipe eksploitasi seperti ini tidak membutuhkan penyediaan informasi, seperti cookie.

Sekian postingan tentang Pengenalan XSS Part 1 kali ini, bagi sobat blogger yg masih penasaran dan ingin mendalami tentang XSS, tunggu di postingan selanjutnya ya :D

Terima Kasih Sudah Membaca ! Semoga Bermanfaat Untuk Anda :D

0 comments:

Posting Komentar

Jika ada Komentar , Tulis Di Sini