Mencegah Serangan Bug XSS pada sebuah Situs
serangan ini biasanya dapat menginjeksi kode javascript terhadap suatu web,biasanya penyerang mampu memperintahkan kode-kode bahaya ke sebuah situs agar dapat mendapatkan keuntungan atau dapat mencuri sebuah data dalam web.
untuk itu admin akan mempersiapkan sebuah scrip bug XSS ini.
lalu kalian masukan scrip tersebut pada imput pencarian seperti ini<html><head><title>Patch Bug XSS</title></head><body><h1>mengatasi celah XSS. </h1><form action="" method="post"><input type="text" name="q" value="" /><input type="submit" value="Search" /></form><?phpif (isset($_POST['q'])) echo 'Anda mencari : '. $_POST['q'];?><br><br>Ikuti tutorial di <a href="https://cyberlinksec.org/">Cyberlinksec</a></body></html>
<script>alert(cyberlinksec');</script>
Jika saat menekan tombol search kamu menemukan tombol error scrip,berarti scrip yang tersebut memiliki celah xss.
Untuk mengambil cookie dari situs maka kamu masukan code script
<script>alert(document.cookie);</script>
tahap selanjutnya biasanya para pelaku serangan XSS akan mengirimkan sebuah perintah XSS
http://google.com/xss.php?q=%3Cscript%3Ealert%28%27Terimakasih%20cookienya%20;%29%27%29;alert%28document.cookie%29;%3C/script%3E
Lalu bagaimana cara mengatasi bug XSS tersebut ??
Pertama, lakukan encoding untuk karakter <, >,’ dan “. LIhat encoding dibawah :
& –> &
< –> <
> –> >
” –> “
‘ –> ‘
/ –> /
Untuk fungsi diatas jika anda menggunakan PHP anda dapat memakai fungsi htmlspecialchars() ini akan meng-encode semua Tag HTML dan spesial karakter.
Atau anda dapat menambahkan filter dengan str_replace
$input = str_replace(array(‘&’,’<’,’>’), array(‘&’,’<’,’>’), $input);
Atau menggunakan Open Source Libraries mengenai pencegahan XSS attack seperti PHP AntiXSS , HTML Purifier , xssprotect , XSS HTML Filter
About Unknown
mantap bang, udah saya fix bug saya bang. makasih yaa ^_^
ReplyDeleteok gud kan :v
Delete