KAI_D_5213100144_Tugas_4
5
Tugas Praktikum 4 Croos Site Scripting (XSS) Keamanan Aset Informasi Nama : Febrian Anggoro Harimurti NRP : 5213100144 Kelas : D INSTITUT TEKNOLOGI SEPULUH NOPEMBER SURABAYA 2015
-
Upload
maulana-dhawangkhara -
Category
Documents
-
view
219 -
download
0
description
tugas KAI, sistem informasi ITS, 2013
Transcript of KAI_D_5213100144_Tugas_4
Tugas Praktikum 4
Croos Site Scripting
(XSS)
Keamanan Aset Informasi
Nama : Febrian Anggoro Harimurti
NRP : 5213100144
Kelas : D
INSTITUT TEKNOLOGI SEPULUH NOPEMBER
SURABAYA
2015
Penyerangan XSS
Website yang memiliki kerentanan terhadap XSS yaitu portal.paseban.com
Setelah itu mulai memasukkan CSS pada tombol search dengan seperti ini:
<strong><marquee>HALO HALO halo</strong></marquee>
Maka akan muncul seperti gambar di bawah, yang tulisannya dapat berjalan dan besar
Stored XSS
Setelah itu mencoba untuk melakukan stored XSS dengan membuka website seperti di bawah
Setelah itu coba comment dengan menulis seperti gambar di bawah
<strong><marquee>deremma reah</strong></marquee>
Setelah itu akan muncul comment seperti gambar di bawah
Cara proteksi terhadap XSS
Tidak pernah percaya input pengguna dan selalu menyaring metakarakter. Hal ini akan menghilangkan
sebagian besar serangan XSS. Konversi <dan> ke & lt; dan & gt; juga disarankan ketika datang ke output
yang skrip. Ingat XSS lubang dapat merusak dan mahal untuk bisnis Anda jika disalahgunakan. Penyerang
sering akan mengungkapkan lubang ini kepada masyarakat, yang dapat mengikis pelanggan dan
kepercayaan publik dalam keamanan dan privasi situs organisasi Anda. Penyaringan <dan> saja tidak
akan menyelesaikan semua lintas serangan site scripting dan disarankan Anda juga mencoba untuk
menyaring (dan) dengan menerjemahkan mereka (dan), serta # dan & dengan menerjemahkan mereka
ke & # 35 (#) dan & # 38 (&).
Cara termudah untuk melindungi diri Anda sebagai pengguna hanya mengikuti link dari situs utama
Anda ingin melihat. Jika Anda mengunjungi salah satu situs web dan link ke CNN misalnya, bukan
mengkliknya mengunjungi situs utama CNN dan menggunakan mesin pencari untuk menemukan
konten. Hal ini mungkin akan menghilangkan sembilan puluh persen dari masalah. Kadang-kadang XSS
dapat dijalankan secara otomatis ketika Anda membuka email, attachment email, membaca buku tamu,
atau papan buletin pos. Jika Anda berencana untuk membuka email, atau membaca posting di papan
umum dari seseorang yang Anda tidak tahu HATI-HATI. Salah satu cara terbaik untuk melindungi diri
sendiri adalah untuk mematikan Javascript dalam pengaturan browser Anda. Di IE mengubah
pengaturan keamanan Anda ke tinggi. Hal ini dapat mencegah pencurian kue, dan secara umum adalah
hal yang aman untuk dilakukan.
Reference:
PPT dari asisten dosen KAI
