--------------Tetha Valianta

5213100055
KAI-A
SISFOR-2013
---------------

MELAKUKAN XSS ATTACK

KE WEBSITE TERTENTU

WEBSITE TARGET :
1. http://www.kanda.com/
2. http://www.okezone.com/

METODE YANG DIPAKAI :

A. XSS pada Search
B. XSS Stored

LANGKAH-LANGKAH :
A. METODE XSS SEARCH (http://www.kanda.com/)
Website ini rentan terhadap XSS salah satunya dengan metode search, hal ini
dibuktikan dengan :

1. Masukkan keyword terserah HaiJomblo

2. Search yang kita masukkan tidak ditemukan
3. Coba membuka Inspect Element/Source dari halaman tersebut, dan search
keyword tadi HaiJomblo
4. Ternyata keyword tersebut ada dan ditampilkan dalam source dari
halaman website tersebut.

5. Kemudian setelah kata HaiJpmblo tambahkan script berikut :

("><script>alert("YOU HAVE BEEN HACKED BY JOMBLO")</script>),
sehingga hasilnya adalah HaiJomblo"><script>alert("YOU HAVE BEEN
HACKED BY JOMBLO")</script>.
6. Setelah itu coba click search maka akan muncul halaman seperti berikut :

7. XSS seperti ini bersifat sementara / temporary, ketika browser di refresh

maka alert seperti itu tidak akan muncul lagi, harus diinputkan kembali.

B. METODE XSS STORED (http://www.okezone.com/)

Alasan menggunakan okezone.com adalah website ini memiliki guest book dan
untuk proses registrasi ke dalamnya tidak memerlukan validasi email seperti ini
contohnya :

Kemudian setelah click Sign Up maka hasilnya kita sudah dapat login ke website
tersebut, ini buktinya :

Setelah berhasil login, saatnya beraksi dengan XSS Strored, caranya adalah :

1. Pilih salah satu berita yang menarik HENGKY KURNIAWAN SIAP NIKAHI
SONYA

2. Berikan Komentar dengan format source HTML <b>wow udah gak

jomblo</b> lalu klik kirim :
Hasilnya adalah membuat tulisan tecetak tebal

3. Tambahkan lagi komentar dengan format source HTML <h1>Hai

JOMBLO</h1> lalu klik kirim :
Efeknya adalah membuat tulisan Hai JOMBLO tercetak dengan ukuran yang
besar.

4. Tambahkan lagi komentar dengan format source HTML <marquee>YOU

HAVE BEEN HACKED BY JOMBLO</marquee> lalu klik kirim :
Efeknya adalah membuat tulisan YOU HAVE BEEN HACKED BY JOMBLO
bergerak/berjalan.

5. Tambahkan lagi komentar dengan format source HTML seperti pada gambar
(kotak nomor 5) :
Tujuannya adalah menampilkan gambar tertentu sesuai url yang di masukkan

6. Ini adalah hasil ketika website kita refresh :

MENGATASI XSS ATTACK :

1. XSS Attack dapat dicegah dengan cara menggunakan fungsi PHP, hal ini
didasari pemikiran bahwa user bisa saja melakukan inputan yang
mengandung script :
stript_tag() Fungsinya untuk menghilangkan semua tag HTML dari
inputan user

htmlentities() Fungsi untuk mengganti karakter <dan> menjadi &lt;

dan &gt;

2. Filtering
Menangkal masukan dari client browser dengan mewaspadai karakterkarakter tertentu, contohnya :
a. Terletak di antara <SCRIPT> dengan </SCRIPT>, titik koma, tanda
kurung, kurung kurawal dan ganti garis.
b. Terletak di dalam isi dari element blok level
< : Pembuka tag
& : Penanda sebuah entitas
> : Penutup tag
3. Validasi/Moderasi
Teknik ini yaitu artinya bahwa hanya inputan dari user yang kita setujui atau
kita validasi/tepat yang akan dipilih dan ditampilkan. Seperti contohnya
terdapat di website berikut :
http://kedirikab.go.id

REFERENSI :

https://hayungku.wordpress.com/2012/05/28/xss-cross-site-scripting/
http://www.diskusiweb.com/discussion/40988/apa-itu-xss-dan-caramengatasinya/p1
http://www.ethic.ninja/2014/10/bagaimana-mengatasi-serangan-xss.html