XSS atau cross-site scripting, merupakan sejenis serangan yang ditujukan ke pengguna lainnya. Serangan ini tidak akan memberikan akses root ataupun system dalam server web, serangan ini hanya berusaha mendapatkan informasi yang berkaitan dengan aplikasi web yang digunakan. Aplikasi web ini dapat berupa aplikasi email berbasiskan web, forum online atau situs e-shopping.
Sebagai contoh sederhana XSS, bayangkan sebuah buku tamu dimana orang-orang dapat berdiskusi tentang tanggapan mereka terhadap sebuah situs, ketika melihat buku tamu tersebut, kita dapat melihat apa yang pengguna sebelumnya komentari tentang situs tersebut, dan kadang kala situs tersebut mengijinkan penggunaan tag HTML, lalu kenapa tidak kita menulis komentar dengan menggunakan huruf ‘comic sans’ dan berwarna merah, sehingga tiap orang dapat melihat komentar kita tersebut. Karena HTML hanyalah sebuah bahasa program script dan browser kita merupakan interpreter untuk hal tersebut. Maka dengan sedikit kreativitas, komentar di buku tamu tadi, kita sisipkan beberapa scrip program rahasia, tentu pengguna lainnya tidak menyadarinya.
Dengan hadirnya teknologi yang memungkinkan situs web menjadi lebih interaktif dan dinamis, XSS juga mengalami perkembangan. Dengan menggunakan java script memang serangan XSS tidak dapat menghapus isi data di hard drive client, tapi kita mengakses url yang sedang diakses klien, melihat history akses web si klien ataupun melihat cookie yang ada. Hal kecil yang akan membawa dampak besar.
Memang XSS hadir karena jeleknya pembangunan sebuah situs web. Kita lebih terbiasa dengan keindahan desain dan isi dari situs web kita, tapi tidak cukup peduli dengan rangkaian baris program yang menyusun situs web tersebut, jarang sekali kita melakukan validasi atas broken link atau input yang diberikan oleh user, seperti pada buku tamu di atas - hal yang paling sering digunakan untuk menyisipkan kode curang sang penyerang.
Kesuksesan jenis serangan ini bergantung pada dukungan fungsionalitas di browser klien untuk menginterpretasikan script tersebut, kebanyakan browser web dapat menginterpretasikan embedded script dalam isi HTML.
Download
Thursday, May 28, 2009
Subscribe to:
Post Comments (Atom)
0 comments:
Post a Comment