Cara Patch Bug XSS (cross site scripting)
Assalamualaikum wr.wb kali ini saya akan memberkkan tutorial patch bug xss.
Bagaimana XSS bisa terjadi? karena tidak adanya filter code seperti htmlspecialchars(),str_replace,dll...
XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs.
misalkan code yang paling simple:<script>alert(1)</script> dan masih banyak lagi.
Nah xss terbagi menjadi dua yaitu:
-xss stored
-xss reflected
untuk lebih memahami apa itu xss bisa kalian klick disini.
ok langsung saja siapkan localhost untuk menjalankan script vuln xss nya.
<?php error_reporting(0); if(isset($_POST['nama'])) $nama = $_POST['nama']; ?> <center> <font color="red">pembelajaran xss by sitexploit.me</font><form method="post" action=""> Input your Name : <input type="text" name="nama" size="20"><input type="submit" value="kirim"> </form> <?phpdisini kita gunakan code tersebut sebagai pembelajaran kita.simpan file tersebut dengan extensi .php contoh index.php
echo "$nama";
// Contoh Vulnerability Bug XSS ?>
ketika attacker membuka file tersebut dan memasukan script nya maka akan terjadinya xss
example :
<a href="http://www.sitexploit.me">click me</a> <br><font color="red">pebelajaran xss by sitexploit.me</font>
Apabila code atau script tersebut di masukan maka akan terdapat output click me yang nantinya jika di klick oleh pengguna atau pengunjung maka akan di redirect ke web yang dituju.
Lalu bagaimana cara memperbaiki atau mempatch bug xss tersebut.
Cara nya cukup mudah yaitu kita hanya menambah script htmlspecialchars() ke dalam file atau code dibagian yang terdapat vulnerability xss.
di script ini yang terdapat bug xss nya adalah di bagian echo "$nama";
untuk memperbaiki nya kita tinggal menambah kan htmlspecialchars()
contoh echo htmlspecialchars($nama);
jika di gabungkan semua code atau script maka akan menjadi:
<?php error_reporting(0); if(isset($_POST['nama'])) $nama = $_POST['nama']; ?> <center> <font color="red">pembelajaran xss by sitexploit.me</font> <form method="post" action=""> Masukan Nama : <input type="text" name="nama" size="20"><input type="submit" value="kirim"> </form> <?php echo htmlspecialchars($nama); // PATCHING XSS ?>
dan coba jalankan script tersebut di localhost kalian.lalu masukan script atau payload xss kalian.dan wallla script atau payload xss yang kalian submit maka akan menampilkan code xss tersebut namun tidak merusak site yang ada.
ok cukup sekian yang mungkin dapat saya sampaikan.see you ^_^
0 Response to "Cara Patch Bug XSS (cross site scripting)"
Posting Komentar