Jumat, 30 Maret 2012
Cross Site Scripting
Dari beberapa jenis serangan web yang populer, serangan XSS termasuk ke dalam peringkat 10 besar.
Sebenarnya apa sih XSS itu?
Dalam Cross Site Scripting, aplikasi web target diinfeksi dengan menambahkan link baru yang tidak disadari oleh pengembang aplikasi. Dalam link baru tersebut, terdapat rangkaian script program yang digunakan untuk mengakses informasi yang berkaitan dengan web tersebut.
Anatomi XSS
Sebuah serangan XSS dilakukan dengan menyediakan alamat khusus yang dikemas oleh penyerang untuk calon korbannya. Dalam konteks XSS, attacker mengundang korbannya untuk mengeksekusi alamat URL yang diberikan dan membiarkan korban menngikuti link tersebut dengan menjalankan script yang sebelumnya beraksi di komputer client untuk mendapatkan informasi yang diinginkan.
Kasarannya, serangan XSS hanya berdampak pada client tertentu jadi tidak langsung pada web nya. Tapi hal ini akan sangat berdampak signifikan jika yang di serang adalah web yang berisi informasi vital untuk publik.
Sebagai contoh attacker melakukan pentes dengan memasukkan script seperti ini
<@SCRIPT>alert("Test Aja") tanpa @
maka ketika URL diakses oleh client akan muncul
munculnya peringatan itu sudah bisa dijadikan indikator bahwa web tersebut ada celah dari sisi XSS.
Contoh lain,,bisa diakses pada link berikut:
http://www.bobrunciman.com
Thanks to
- Ki Lurah
- S'to
- Ying Zuckerberg
- Setyorini
Sebenarnya apa sih XSS itu?
Dalam Cross Site Scripting, aplikasi web target diinfeksi dengan menambahkan link baru yang tidak disadari oleh pengembang aplikasi. Dalam link baru tersebut, terdapat rangkaian script program yang digunakan untuk mengakses informasi yang berkaitan dengan web tersebut.
Anatomi XSS
Sebuah serangan XSS dilakukan dengan menyediakan alamat khusus yang dikemas oleh penyerang untuk calon korbannya. Dalam konteks XSS, attacker mengundang korbannya untuk mengeksekusi alamat URL yang diberikan dan membiarkan korban menngikuti link tersebut dengan menjalankan script yang sebelumnya beraksi di komputer client untuk mendapatkan informasi yang diinginkan.
Kasarannya, serangan XSS hanya berdampak pada client tertentu jadi tidak langsung pada web nya. Tapi hal ini akan sangat berdampak signifikan jika yang di serang adalah web yang berisi informasi vital untuk publik.
Sebagai contoh attacker melakukan pentes dengan memasukkan script seperti ini
<@SCRIPT>alert("Test Aja") tanpa @
maka ketika URL diakses oleh client akan muncul
munculnya peringatan itu sudah bisa dijadikan indikator bahwa web tersebut ada celah dari sisi XSS.Contoh lain,,bisa diakses pada link berikut:
http://www.bobrunciman.com
Thanks to
- Ki Lurah
- S'to
- Ying Zuckerberg
- Setyorini
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar