XSS dan Pencegahannya

XSS alias cross site scripting adalah salah satu teknik penyerangan terhadap website yang lemah. Kenapa namanya XSS ? Bukan CSS ? Jawabannya, karna CSS lebih dikenal sebagi cascading style sheet (kalo ga tau CSS tanya ama Wikipedia). Contoh serangan XSS ya itu lho, serangan Mas Dhani Ahmad (Xnuxer) terhadap website KPU 2004 silam. Pada dasarnya, penyerangan XSS dilakukan dengan memasukkan tag-tag HTML ke website korban. Contohnya, guestbook. Jadi skenarionya gini neh, sang attacker mengunjungi website yang lemah, terus mengisi guestbook yang kurang lebih begini:

Hello !

<script type=”text/javascript”>

window.location=”http://www.whatever.com/hacked.htm&#8221;;

</script>


Kira-kira apa yang terjadi ? Yupz, halaman guestbook korban, tanpa berpikir panjang akan langsung beralih ke hacked.htm yang udah dipersiapkan attacker. Oh… gitu, berarti XSS gak bahaya dong, tinggal dihapus aja kan entry guestbook yang bermasalah. Jawbannya: nggak juga, serangan kayak gini mah ga seberapa. Tinggal dimatiin javascript-nya, dan semua yang dikerjain attacker akan sia-sia. Seberapa parah serangan XSS ini tergantung kreatifitas kamu, mulai dari cuma ngeganggu, sampe pencurian password + deface.

Lantas, gimana dong cara mencegahnya ? Gak susah kok, seperti biasa, yang diperlukan hanyalah usaha + kemauan. Kalo website kamu menggunakan PHP, maka ada function sederhana yang gunanya untuk menghilangkan tag HTML pada suatu string. OK, dari pada bingung mending kita liat code-nya.

<span style="color:#ff0000;"> $sebelum="</span>

<h2><span style="color:#ff0000;">Hi ! Apa kabar ?</span></h2>

<span style="color:#ff0000;">";
$sesudah=strip_tags($sebelum);</span>

<span style="color:#ff0000;">echo "Sebelum: $sebelum";
echo "
Sesudah: $sesudah";</span>

<span style="color:#ff0000;">?&gt;
</span>

Dengan menggunakan code seperti di atas, string $sebelum yang berisikan tag HTML disanitasikan dengan perntah strip_tags(), sehingga menjadi string biasa tanpa tag Dengan Javascript pun bisa kok. Kurang lebih begini code-nya:

<span style="color:#ff0000;"> function strip_tags( str ){
// http://kevin.vanzonneveld.net
// +   original by: Kevin van Zonneveld (http://kevin.vanzonneveld.net)
// *     example 1: strip_tags('Kevin van Zonneveld');
// *     returns 1: 'Kevin van Zonneveld'</span>

<span style="color:#ff0000;">return str.replace(/]+&gt;/gi, '');
}</span>

OK, sekian dulu yach… Semoga bermanfaat.

Source>> http://www.hadoitz.co.nr

4 Responses to “XSS dan Pencegahannya”

  1. Kok artikel di website gw bisa ampe disini ya ? Tapi gpp lah, yang penting cantumkan sumbernya yach !

  2. kalo buat pembelajarang ngga apa kan Hadoitz,, yang jelas kita belajar bargn semua.. dengan tidak melupakan pemilik asli.. ^^

  3. Mas..waktu aktifin wifi disekitar perumahan saya, saya dapet jaringan, tapi pas mau konek kok susah banget ya, padahal signalnya bagus tuh…makasih buat infonya

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: