Post

9/recent/ticker-posts

Cross Site Scripting(XSS) dengan dvwa Security Low


Haik kali ini dengan XSS, apa itu XSS? Cross site scripting(XSS) adalah serangan injeksi kode pada sisi klien dengan menggunakan sarana halaman website atau web aplikasi.  Peretas akan mengeksekusi skrip berbahaya di browser korban dengan cara memasukkan kode berbahaya ke halaman web atau web aplikasi yang sah.
Source : 
https://www.logique.co.id/blog/2019/10/16/serangan-cross-site-scripting/

Penjelasan lengkap XSS bisa kalian search di google. disini kita praktek gimana serangan xss itu
Bahan-bahan untuk XSS : 
-DVWA 
-Internet

Disini saya akan mencoba praktek jenis XSS reflected. Reflected XSS terjadi ketika skrip berbahaya dipantulkan dari web aplikasi ke browser korban.

Langsung saja, Buka dvwa di browser 


Sebelumnya ubah tingkat security dvwa nya ke low,caranya kalian klik DVWA Security.
Okey gambar diatas si dvwa nanya whats your name? disini kita coba ketik nama kita dengan teks biasa and submit



Nah sesudah masukkan nama si dvwa nya nyapa Hello Shidqi, oke ini bukan XSS
XSS terjadi ketika kita measukkan payload / script berbahaya ke form diatas itu,Contoh kita gunakan tag html yaitu <marquee>ini xss</marquee>



nah "ini xss" itu teks jalan dari kanan ke kiri,karna di foto jadi ga jalan:v. Ini baru XSS
kenapa?karena si web ter eksekusi oleh kode html tersebut.
kalian tau fungsi <marquee>?fungsi <marquee> di html ialah menjadikan teks/kalimat berjalan dari kanan ke kiri.Seperti gambar diatas teks itu berjalan dari kanan ke kiri karena kita memasukkan <marquee>ini xss</marquee> berarti ini rentan terhadap XSS.
kita juga bisa mencoba tag" html lainnya.

kita coba memasukkan kode yang sering dipakai oleh hacker yaitu <script>alert("Xss")</script> saya coba masukkan apakah berhasil atau tidak




Dan berhasil,kita coba lebih jauh menggunakan tag <script> saya coba <script>alert(document.cookie)</script>




Oke kita bisa liat itu cookie browser saya.Kita coba view-source di dvwa security low




Bisa kalian liat script rentan terhadap XSS,disitu ia hanya print perintah hello $_GET apa yg kita ketik tanpa memvalidasi atau apalah gitu.Next post saya coba XSS yg lebih keatas:v

Jika tidak paham bisa komen dibawah tentang materi yg diatas.

~Terima Kasih

Posting Komentar

0 Komentar