Cross Site Scripting atau XSS
XSSatau Cross site scripting merupakan salah satu jenis serangan cyber berbahaya yang bisa terdapat platform populer seperti Facebook, Google, Paypal dan lainnya. Serangan ini mengeksploitasi kerentanan XSS untuk mencuri data dan cookie, mengendalikan sesi pengguna, menjalankan kode jahat, atau digunakan sebagai bagian dari serangan phishing.
Cross site scripting ini juga masuk ke dalam daftar top 10 kerentanan OWASP ( Open Web Application Security Project ).
Pengertian
Cross Site Scripting adalah serangan injeksi kode pada sisi klien dengan menggunakan sarana halaman website atau web aplikasi. Peretas akan mengeksekusi skrip berbahaya di browser korban dengan cara memasukkan kode berbahaya ke halaman web atau web aplikasi yang sah. Serangan ini dapat dilakukan menggunakan JavaScript, VBScript, ActiveX, Flash, dan bahasa sisi klien lainnya.
Forum, kolom komentar, dan message boards biasanya digunakan oleh penyerang untuk memposting link untuk membuat skrip berbahaya. Skrip tersebut kemudian akan menyerang ketika korban mengklik tautan tersebut. Cross site scripting ini sering digunakan untuk mencuri session cookies, yang memungkinkan penyerang untuk menyamar sebagai korban. Dengan cara inilah, peretas bisa mengetahui data-data sensitif milik korban.
Perlu Anda ketahui, serangan cross site scripting disingkat menjadi XSS karena CSS sudah sangat familiar dengan dunia web desain yaitu Cascading Style Sheet. Oleh karena itu agar tidak rancu, maka dipilihlah istilah XSS.
Jenis Jenis XSS
1. Stored Xss / Persistent Xss
Stored XSS adalah serangan xss yang bersifat permanen dan dapat berakibat pada seluruh pengguna. Stored XSS biasanya terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada Message Board, buku tamu, dll. Penyerang memasukkan kode HTML atau Script Code (Payloads) lainnya pada postingan mereka.
2. Reflected Xss / Non Persistent Xss
Reflected XSS adalah jenis XSS yang tidak permanen, XSS tipe ini akan hilang apa bila dilakukan refresh atau semacamnya. Xss jenis ini paling sering dan mudah ditemukan oleh penyerang. Penyerang menggunakan tekhnik Social Engineering agar konten yang sudah di infeksi dengan kode berbahaya ini diklik oleh pengguna lain, kemudian penyerang bisa mendapatkan data-data penting dan sensitif dari pengguna lain, yang selanjutnya dapat digunakan untuk kejahatan lainya. biasannya xss tipe ini dibuat dengan merekayasa url.
3. Blind Xss
Blind Xss adalah kerentanan xss yang penyerang sendiri tidak mengetahui kemana dan oleh siapa payload xss tersebut diterima. Hal ini terjadi karena payload yang digunakan dikirim ke sistem dan hanya dapat dibaca oleh beberapa orang dengan hak khusus. biasanya xss tipe ini ditemui pada form masukan yang hanya dapat dibaca oleh admin.
4. Self Xss
Self Xss hampir sama dengan Reflected Xss namun bedanya xss jenis ini memerlukan proses yang urut dan hanya berdampak pada diri sendiri. Xss tipe ini biasanya dipadukan dengan clickjacking pada penggunaannya. Biasanya xss jenis ini diremukan pada form upload.
5. DOM-based XSS
Serangan ini terjadi jika web aplikasi menulis data ke Document Object Model (DOM) tanpa sanitization yang tepat. Penyerang dapat memanipulasi data ini untuk memasukkan konten XSS pada halaman web seperti kode Javascript yang berbahaya.
Dampak / Impact
1.Pencurian Cookie Memanfaatkan Document.cooki
2.Redirect Evil Site
3.Serangan Dos Pada website
4.Phising dengan Javascript
Tutorial dan Contoh
- Inputkan Payload Atau Script XSS Pada Tempat Yang Vuln
Payload
Untuk Payload Bisa Kalian Cari Pada Github / Lainnya Bisa Juga Kunjungi Link Dibawah