XSS attack menurut saya adalah salah satu metode serangan (hacking) kepada website dengan memasukkan kode-kode HTML kedalam textarea / text field yang terdapat dalam suatu website. Agar mudah dipahami saya akan memberikan sebuah contoh kasus. misalnya seorang attacker akan menyisipkan penggalan kode2 HTML ke dalam Form pencarian yg terdapat pada suatu website. contohnya pada form Komentar, form buku tamu atau form-form lainnya yang memungkinkan seorang attacker / user melakukan postingan dan menyimpan postingan tersebut dalam database.
Kode2 HTML yang tlah tersimpan dalam database nantinya akan di posting / di terbitkan ke halaman website dan menjalankan perintah2 yang telah disisipkan oleh attacker. penggalan2 kode perintah tersebut bisa berupa pengalihan halaman website (redirect page), temp-deface, alert message hingga deface permanent.
dari pengalaman saya serangan XSS juga pernah melumpuhkan server dan merusak sistem (tentunya bukan dengan salah satu contoh kode diatas).
Sebagai pencegahannya agar skrip yang di inputkan oleh attacker tidak berfungsi (tidak bisa di jalankan) maka dari itu kepada programmer2 PHP / developer web agar dapat memproteksi website yang mereka buat dengan bebagai tekhnik, salah satunya dengan membuat fungsi anti_xss sebelum melakukan penyimpanan ke dalam database, seperti berikut :
function anti_xss($isi){
$saring_xss = mysql_real_escape_string(stripslashes(strip_tags(htmlspecialchars($isi,ENT_QUOTES))));
return $saring_xss;
}
$nama =anti_xss($_POST[nama]);
$pesan =anti_xss($_POST[pesan]);
selanjutnya baru dilakukan penyimpanan ke dalam database dengan menginputkan variabel yang value nya telah di ganti. ($nama & $pesan).
oke... sekian dulu, semoga membantu dan bermanfaat.
[c0mRL0sv]
Tidak ada komentar:
Posting Komentar