XSS ATTACK dan PENCEGAHANNYA
sumber : JASAKOM.com by Hadoitz
Yupz, halaman guestbook korban, tanpa berpikir panjang akan langsung beralih ke hacked.htm yang udah dipersiapkan attacker.
Oh... gitu, berarti XSS gak bahaya dong, tinggal dihapus aja kan entry guestbook yang bermasalah. Jawbannya: nggak juga, serangan kayak gini mah ga seberapa. Tinggal dimatiin javascript-nya, dan semua yang dikerjain attacker akan sia-sia. Seberapa parah serangan XSS ini tergantung kreatifitas anda, mulai dari cuma ngeganggu, sampe pencurian password + deface.
Lantas, gimana dong cara mencegahnya ? Gak susah kok, seperti biasa, yang diperlukan hanyalah usaha + kemauan. Kalo website kamu menggunakan PHP, maka ada function sederhana yang gunanya untuk menghilangkan tag HTML pada suatu string. OK, dari pada bingung mending kita liat code-nya.
$sebelum="
Hi ! Apa kabar ?
";
$sesudah=strip_tags($sebelum);
echo "Sebelum: $sebelum";
echo "
Sesudah: $sesudah";
?>
Dengan menggunakan code seperti di atas, string $sebelum yang berisikan tag HTML disanitasikan dengan perntah strip_tags(), sehingga menjadi string biasa tanpa tag Dengan Javascript pun bisa kok. Kurang lebih begini code-nya:
function strip_tags( str ){
// http://kevin.vanzonneveld.net
// + original by: Kevin van Zonneveld (http://kevin.vanzonneveld.net)
// * example 1: strip_tags('Kevin van Zonneveld');
// * returns 1: 'Kevin van Zonneveld'
return str.replace(/]+>/gi, '');
}
OK, sekian dulu yach... Semoga bermanfaat.
Yupz, halaman guestbook korban, tanpa berpikir panjang akan langsung beralih ke hacked.htm yang udah dipersiapkan attacker.
Oh... gitu, berarti XSS gak bahaya dong, tinggal dihapus aja kan entry guestbook yang bermasalah. Jawbannya: nggak juga, serangan kayak gini mah ga seberapa. Tinggal dimatiin javascript-nya, dan semua yang dikerjain attacker akan sia-sia. Seberapa parah serangan XSS ini tergantung kreatifitas anda, mulai dari cuma ngeganggu, sampe pencurian password + deface.
Lantas, gimana dong cara mencegahnya ? Gak susah kok, seperti biasa, yang diperlukan hanyalah usaha + kemauan. Kalo website kamu menggunakan PHP, maka ada function sederhana yang gunanya untuk menghilangkan tag HTML pada suatu string. OK, dari pada bingung mending kita liat code-nya.
$sebelum="
Hi ! Apa kabar ?
";
$sesudah=strip_tags($sebelum);
echo "Sebelum: $sebelum";
echo "
Sesudah: $sesudah";
?>
Dengan menggunakan code seperti di atas, string $sebelum yang berisikan tag HTML disanitasikan dengan perntah strip_tags(), sehingga menjadi string biasa tanpa tag Dengan Javascript pun bisa kok. Kurang lebih begini code-nya:
function strip_tags( str ){
// http://kevin.vanzonneveld.net
// + original by: Kevin van Zonneveld (http://kevin.vanzonneveld.net)
// * example 1: strip_tags('Kevin van Zonneveld');
// * returns 1: 'Kevin van Zonneveld'
return str.replace(/]+>/gi, '');
}
OK, sekian dulu yach... Semoga bermanfaat.
Komentar
Posting Komentar
NO SPAM HERE !!!! OK GUYS !!