xss

xss merupakan singkatan dari Cross Site Scripting, dan ini adalah salah satu jenis serangan yang berupa kode injeksi, mungkin dari kalian akan bertanya bagaimana ini bisa terjadi?

Baiklah, banyak sekali pentester baik yang pemula maupun yang pro melakukan serangan / hack website dengan cara yang satu ini dengan cara memasukkan kode HTML ke website yang bercelah / vulnerable, bisa juga xss ini mem bypass security yang ada di website ke website lainnya untuk mendapatkan informasi penting yang berada di sebuah website baik dengan cara mengirimkan halaman palsu / phishing, ataupun dengan cara lainnya yang ada sangkut pautnya dengan cookie.

Jenis xss

Ada beberapa teknik yang bisa dilakukan oleh pentester / saat ingin mengetahui celah / vulnerable sebuah web, jika hanya xss saja yang akan dilakukan, maka inilah jenis-jenis xss yang bisa dilakukan oleh penyerang.

1. Reflected XSS

Jenis xss ini adalah jenis xss yang paling mudah dilakukan oleh pentester dan sangat sering dilakukan karena kemudahannya akan tetapi jenis ini adalah jenis nonpersistent, umumnya, penyerang menggunakan teknik SE (Social engineering) atau bisa juga disebut phishing yang mengirimkan tautan / link dengan kode html yang berbahaya jika kalian klik link tersebut, bagaimana bisa? ya, jika kalian klik alamat / link tersebut, maka penyerang akan membajak cookie kalian dan akan masuk ke valid session sebuah cookie.

2. Stored xss

Untuk jenis xss yang satu ini lebih berbahaya dari jenis reflected xss diatas tadi, kok bisa? stored xss ini tidak hanya satu korban yang akan dibajak, akan tetapi penyerang bisa membajak semua user akibat celah kode injeksi sebuah website, dan jenis xss ini adalah termasuk persistent xss.

Solusi

– Untuk reflected xss, jangan pernah klik alamat atau tautan atau link yang tidak pernah kalian kunjungi sebelumnya, biasanya alamat ini dikirim melalui email, sms dan lainnya.

– Untuk Stored xss, kalian harus berhati-hati saat menjelajah / browsing sebuah website jika kalian ingin berpartisipasi, baik untuk mendapatkan info / suscribe, comment di sebuah artikel dan lainnya.

Cukup jelas bukan?
Jika kalian ini menambah wawasan tentang security, coba baca artikel security berikut.

LEAVE A REPLY

Please enter your comment!
Please enter your name here