Cara patch bug xss

 












Assalamu'alaikum gua Mr.Dick / Dicky Frandika gua kemaren di tanyain admin website bang berbahaya gak si bug xss bang cara patch bug xss gimana si balblabla dan sekarang gua akan kasih jawab perihal pertanyaan admin website / developer langsung saja yak dengan pertanya pertama


Sebenarnya XSS termasuk bug yang gawat  namun XSS juga bug yang paling sering diremehkan. Karena berbeda dengan bug lain seperti SQL Injection yang menyerang server, bug ini tidak berpengaruh sama sekali terhadap server. XSS hanya menyerang client, yaitu pengguna web application.


bug XSS juga pernah di hargai 6juta yang terdapat di web mail terkenal yakni yahoo
menelisik ke belakan di tahun 2009 saya pernah membaca tutorial yang memanfaatkan bug ini


tepatnya: http://www.ilmuhacking.com/web-security/menjaring-password-di-klikbca-dengan-xss/comment-page-1/


ok sekarang saya coba berbagi tutorial patching bug XSS init tapikita tidak memakai web untuk di jadikan target tapi kita buat file untuk mempraktekkan nya lewat localhost


pertama setelah kita install atau jalankan program xampp atau appserv
lalu kita buat
file php dengan script berikut:


<?php
echo'<br><br><center><form method="post">
<input type="text" name="tes" size="50" /><input type="submit" name="test2" value="Search" /></form><br><br><br>';

if(isset( $_POST['test2'])){
$test=$_POST['tes'];
echo "kata yang ada cari adalah: $test ";}
?>


nah save dengan extensi php lalu jalankan
setelah itu kita masukan tester XSS yakni


"><script>alert('tester by Dicky Frandika')</script>


kemudian enter maka hasilnya akan keluar alert "tester by Dicky Frandika"
nah ini bisa disimpulkan vuln XSS
bug ini terjadi ketika sebuah perintah yang tidak disaring oleh input
pada kasus ini perintah yang di ambil dari input test tidak disaring melainkan langsung ditampilkan dengan perintah echo
jadi cara patch nya yakni dengan menyaring nya denagn perintah htmlspecialchars () di dalam script tadi
sehingga perintah tadi menjadi


<?php
echo'<br><br><center><form method="post">
<input type="text" name="tes" size="50" /><input type="submit" name="test2" value="Search" /></form><br><br><br>';

if(isset( $_POST['test2'])){
$test=$_POST['tes'];
$test=htmlspecialchars($test);
echo "kata yang ada cari adalah: $test ";}
?>

 

lalu masukan perintah tester tadi

Sekarang lihatlah hasilnya bos:v


Anda mungkin menyukai postingan ini