IndeksXSS dan Pencegahannya (newbie only)
2 posters
Halaman 1 dari 1
XSS dan Pencegahannya (newbie only)
by MakubeX Wed Apr 23, 2008 4:03 pm
Yupz, halaman guestbook korban, tanpa berpikir panjang akan langsung beralih ke hacked.htm yang udah dipersiapkan attacker.
Oh... gitu, berarti XSS gak bahaya dong, tinggal dihapus aja kan entry
guestbook yang bermasalah. Jawbannya: nggak juga, serangan kayak gini
mah ga seberapa. Tinggal dimatiin javascript-nya, dan semua yang
dikerjain attacker akan sia-sia. Seberapa parah serangan XSS ini
tergantung kreatifitas anda, mulai dari cuma ngeganggu, sampe pencurian
password + deface.
Lantas, gimana dong cara mencegahnya ? Gak susah kok, seperti
biasa, yang diperlukan hanyalah usaha + kemauan. Kalo website kamu
menggunakan PHP, maka ada function sederhana yang gunanya untuk
menghilangkan tag HTML pada suatu string. OK, dari pada bingung mending
kita liat code-nya.
$sebelum="
Hi ! Apa kabar ?
";
$sesudah=strip_tags($sebelum);
echo "Sebelum: $sebelum";
echo "
Sesudah: $sesudah";
?>
Dengan menggunakan code seperti di atas, string $sebelum yang
berisikan tag HTML disanitasikan dengan perntah strip_tags(), sehingga
menjadi string biasa tanpa tag Dengan Javascript pun bisa kok. Kurang
lebih begini code-nya:
function strip_tags( str ){
// http://kevin.vanzonneveld.net
// + original by: Kevin van Zonneveld (http://kevin.vanzonneveld.net)
// * example 1: strip_tags('Kevin van Zonneveld');
// * returns 1: 'Kevin van Zonneveld'
return str.replace(/]+>/gi, '');
}
OK, sekian dulu yach... Semoga bermanfaat.
Oh... gitu, berarti XSS gak bahaya dong, tinggal dihapus aja kan entry
guestbook yang bermasalah. Jawbannya: nggak juga, serangan kayak gini
mah ga seberapa. Tinggal dimatiin javascript-nya, dan semua yang
dikerjain attacker akan sia-sia. Seberapa parah serangan XSS ini
tergantung kreatifitas anda, mulai dari cuma ngeganggu, sampe pencurian
password + deface.
Lantas, gimana dong cara mencegahnya ? Gak susah kok, seperti
biasa, yang diperlukan hanyalah usaha + kemauan. Kalo website kamu
menggunakan PHP, maka ada function sederhana yang gunanya untuk
menghilangkan tag HTML pada suatu string. OK, dari pada bingung mending
kita liat code-nya.
$sebelum="
Hi ! Apa kabar ?
";
$sesudah=strip_tags($sebelum);
echo "Sebelum: $sebelum";
echo "
Sesudah: $sesudah";
?>
Dengan menggunakan code seperti di atas, string $sebelum yang
berisikan tag HTML disanitasikan dengan perntah strip_tags(), sehingga
menjadi string biasa tanpa tag Dengan Javascript pun bisa kok. Kurang
lebih begini code-nya:
function strip_tags( str ){
// http://kevin.vanzonneveld.net
// + original by: Kevin van Zonneveld (http://kevin.vanzonneveld.net)
// * example 1: strip_tags('Kevin van Zonneveld');
// * returns 1: 'Kevin van Zonneveld'
return str.replace(/]+>/gi, '');
}
OK, sekian dulu yach... Semoga bermanfaat.
MakubeX- VIRUS MAKER
- Jumlah posting : 167
Registration date : 23.04.08
Re: XSS dan Pencegahannya (newbie only)
by Andy.Layau Mon Nov 29, 2010 9:44 am
wah mantab nih infonya..... thanks
Andy.Layau- PRAJURIT
- Jumlah posting : 74
Registration date : 28.09.10
Halaman 1 dari 1
Permissions in this forum:
Anda tidak dapat menjawab topik