Selasa, 26 Oktober 2010

XSS & Penanggulangan XSS

Sebuah aplikasi web rentan terhadap XSS memperbolehkan user tanpa pengetahuan untuk mengirimkan data jahat kepada diri mereka melalui aplikasi tersebut.
penyerang sering melakukan eksploitasi XSS dengan membuat URL jahat dan menipu ke mengklik pada mereka.

ini menyebabkan link sisi client bahasa scripting seperti VBScript, JavaScript dari pilihan penyerang untuk mengeksekusi pada korban browser.
kerentanan XSS disebabkan oleh kegagalan dalam aplikasi web untuk benar memvalidasi input pengguna.
Gambaran sederhana dari cross-site scripting dapat diletakkan sebagai serangan yang terjadi saat pengguna memasukkan data berbahaya dalam situs Web. Hal ini dapat sesederhana posting pesan yang berisi kode berbahaya ke sebuah newsgroup. Ketika orang lain pandangan pesan ini, browser akan menginterprestasikan kode dan menjalankan file ini, sering memberikan kontrol penyerang dalam sistem. Skrip berbahaya juga dapat di jalankan secara otomatis berdasarkan pada peristiwa tertentu, seperti ketika beban gambar. CSS tudaj berlaku untuk produk vendor tunggal apapun, sebaliknya, hal itu dapat mempengaruhi setiap perangkat lunak yang berjalan pada server web.
CSS terjadi sebagai akibat dari kegagalan berbasis aplikasi web yang disediakan untuk memvalidasi input pengguna sebelum mengembalikannya ke sistem klien. "Cross-Site" mengacu pada pembatasan keamanan bahwa browser client biasanya tempat di data seperti cookies, konten dinamis atribut yang berhubungan dengan situs web. Hal ini menyebabkan korban browser untuk mengeksekusi kode berbahaya dengan hak akses yang sama dengan domain dari aplikasi web, penyerang bisa melewati model dokument tradisional objek (DOM) pembatasan keamanan. Model obyek dokumen adalah interface dapat diakses aplikasi yang memungkinkan sisi klien bahasa untuk secara dinamis mengakses dan memodifikasi konten, struktru dan gaya dari suatu halaman web.
Cross-site Scripting (CSS) serangan memerlukan pelaksanaan-side Bahasa Client (JavaScript, Java, VBScript, ActiveX, Flash) dalam web lingkungan pengguna. Cross Site Scripting dapat mengakibatkan penyerang mencuri cookie, pembajakan sesi, mengubah pengaturan akun aplikasi web dan banyak lagi. Komponen web yang paling umum yang rentan terhadap serangan CSS termasuk script CGI, mesin pencari, papan buletin interaktrif (Forum), dan halaman kesalahan kuctom dengan input validasi tertulis rutinitas buruk. Juga korban tidak perlu untuk mengklik pada link untuk membuat serangan terjadi.
(Contoh Attack)
Contoh 1: Tag IMG
http://host/search/search.cgi?query=
TErgantung pada pengaturan webiste, ini menghasilkan html dengan gambar dari host2 dan feed itu kepada pengguna ketika mereka mengklik link ini. Tergantung pada tata letak halaman web asli dimungkinkan untuk menarik pengguna ke dalam pemikiran ini adalah bagian sah dari gambar.
contoh 2 :
http://host/something.php?q=
Jika pengguna mengklik link ini menampilkan kotak popup JavaScript domain nama situs akan muncul. Meskipun contoh ini tidak berbahaya, penyerang dapat menciptakan bentuk palsu atau, mungkin menciptkan sesuatu yang mengambil informasi dari pengguna. Permintaan atas adalah mudah dipertanyakan kepada pengguna standart tapi dengan hex, unicode, atau pengkodean jendela pengguna bisa tertipu dan berpikir ini adalah link situs valid.
Contoh 3 :
http://host/inserthere

Tidak ada komentar:

Posting Komentar