Mengenal Apa itu XSS, Cara Kerjanya dan Antisipasinya

MENGENAL APA ITU XSS, CARA KERJANYA  DAN ANTISIPASINYA


FORDIASI.COM | INTERNET - Mungkin Anda bertanya-tanya tentang apa itu serangan XSS. Cross-Site Scripting, juga disebut sebagai serangan XSS, adalah jenis injeksi yang menerima skrip berbahaya ke dalam kasus lain jinak dan bergantung pada situs web.


Bagaimana serangan XXS terjadi?

Serangan XSS terwujud ketika penyerang menggunakan utilitas online untuk mengirimkan kode berbahaya, biasanya di dalam struktur skrip sisi browser, ke pengguna akhir yang luar biasa. Sayangnya, kerentanan yang memungkinkan serangan ini untuk menang sangat besar dan muncul di suatu tempat perangkat lunak online menggunakan entri dari seseorang di dalam output yang dihasilkannya kecuali memvalidasi atau mengkodekannya.


Penyerang dapat menggunakan XSS untuk mengirimkan skrip berbahaya ke pengguna yang tidak curiga, browser pengguna tidak memiliki cara untuk memahami bahwa skrip tidak boleh bergantung dan akan mengeksekusi skrip.


Berpikir bahwa skrip dalam kueri diperoleh dari sumber terpercaya, skrip berbahaya sekarang dapat mengakses cookie, token sesi, atau catatan sensitif lainnya yang disimpan browser sebelumnya, atau mungkin menulis ulang materi konten halaman HTML.

$ads={1}

Konten berbahaya sering dapat mengambil struktur segmen JavaScript, tetapi mungkin juga terdiri dari HTML, Flash, atau kode unik lain yang juga dapat dijalankan oleh browser.


Peluang serangan XSS hampir tidak terbatas, tetapi umumnya mencakup transmisi data non-publik, seperti cookie atau informasi sesi lain, ke penyerang, mengarahkan pengguna ke konten bersih yang dikelola oleh penyerang, atau melakukan operasi berbahaya lainnya di komputer pengguna.


Jenis serangan XSS

Serangan ini juga dapat dipecah menjadi tiga kategori utama: disimpan, dicerminkan, dan XSS Berbasis DOM dengan yang paling sering disimpan dan juga serangan cermin.


SERANGAN TERSIMPAN ATAU PERSISTEN XSS

Ini dijelaskan ketika skrip yang disuntikkan benar-benar disimpan di server tujuan, seperti di database, di forum pesan, log perjalanan, atau kolom komentar. Penderita kemudian mengambil skrip berbahaya dari server ketika meminta informasi yang disimpan.


SERANGAN TERCANTUM

Mereka mendapatkan nama mereka dari gerakan yang diambil oleh server, dalam hal ini skrip yang disuntikkan dicerminkan dari server internet, seperti dalam pesan kesalahan, hasil pencarian, atau respons lain yang melibatkan beberapa atau semua entri yang dikirim ke server sebagai fase permintaan. mereka dikirim ke korban melalui beberapa rute lain, seperti dalam pesan surat elektronik, atau di situs web lain.


Ketika konsumen ditipu untuk mengklik tautan berbahaya, mengirimkan formulir khusus, atau mungkin hanya mencari situs berbahaya, kode yang disuntikkan berjalan ke situs web rawan yang menampilkan serangan ke browser pengguna. Browser kemudian mengeksekusi kode tersebut karena kode tersebut didapat dari server "tepercaya". XSS yang direfleksikan juga kadang-kadang disebut sebagai XSS Non-Persisten atau Tipe-II.

$ads={2}

SERANGAN XSS BERBASIS DOM

Jenis serangan XXS yang paling jarang terjadi adalah ketika sebuah utilitas menggabungkan beberapa JavaScript sisi klien yang memproses informasi dari pasokan yang tidak tepercaya dengan cara yang berisiko, biasanya dengan bantuan menulis data lagi ke DOM.


Bagaimana agar tetap aman?

Telah terbukti bahwa untuk mencegah kerentanan XSS dengan benar, penting untuk memuat serangkaian langkah-langkah berikut:


MASUKAN FILTER SAAT KEDATANGAN

Idealnya, Anda harus menyaring entri pada saat kedatangan, itu berarti bahwa alasan tempat pelanggan masuk diperoleh, Anda harus menyaring seketat mungkin mendukung apa yang diprediksi atau masukan yang sah.


KODE DATA ANDA PADA OUTPUT

Anda dapat menyandikan keluaran agar tidak ditafsirkan sebagai konten energik, namun bergantung pada konteks keluaran, ini mungkin memerlukan penggunaan campuran penyandian HTML, URL, JavaScript, dan CSS.


GUNAKAN HANYA KEPALA RESPON YANG TEPAT

Untuk menghentikan XSS dalam respons HTTP yang tidak lagi seharusnya terdiri dari HTML atau JavaScript apa pun, Anda harus menggunakan header Content-Type dan X-Content-Type-Options dan membuat browser tertentu memecahkan kode respons seperti yang Anda inginkan.


MEMILIKI KEBIJAKAN KEAMANAN KONTEN DI TEMPAT

Sebagai garis pertahanan penutup, Anda dapat menggunakan Kebijakan Keamanan Konten untuk mengukur kembali tingkat keparahan kerentanan XSS apa pun yang juga terjadi.


Sumber : https://www.ferdy-info.xyz/


Demikian informasi " Mengenal Apa itu XSS, Cara Kerjanya dan Antisipasinya "


Semoga bermanfaat...


Terima Kasih


- Fordiasi, Forum Media Informasi -

Post a Comment

Lebih baru Lebih lama
close