Cross Site Scripting (XSS)

Sebelum kita melanjutkan artikel-artikel Friendster Hacking ini lebih jauh, akan lebih baik jika kita membahas sedikit mengenai Cross Site Scripting (XSS), yang merupakan sebuah teknik hacking yang sangat banyak ditemukan di manapun. Selain itu, teknik ini merupakan 90% serangan yang sering sekali hacker lakukan untuk melakukan tindakan yang tidak bertanggung jawab, mengambil alih account milik orang lain. Hayo siapa yang suka begitu? Hayo ngaku...

Untuk memahami apa itu Cross Site Scripting (XSS), bagaimana cara kerjanya, serta apa saja yang mungkin ia lakukan, akan sangat baik apabila kita membaca artikel yang berhubungan dengan hal XSS ini.


What is Cross Site Scripting?

Cross Site Scripting adalah sebuah jenis serangan yang juga dikenal dengan nama XSS atau CSS, yang juga dapat dikategorikan sebagai jenis serangan tingkat menengah, atau yang tingkat bahayanya masih menengah, dikarenakan dengan menggunakan jenis serangan ini, seorang penyerang tidak melakukan serangan langsung terhadap database maupun admin control panel sebuah website.

Walaupun Cross Site Scripting tidak melakukan serangan langsung kepada sistem yang ada, bukan berarti tingkat bahaya daripada serangan ini tumpul dan hilang begitu saja. Cross Site Scripting adalah teknik paling jitu untuk mengeksploitasi kelemahan pada elemen paling penting dalam sebuah susunan teknologi, yakni menusianya. Dengan cara menyamarkan dirinya sebagai hyperlink atau berbagai hal lainnya yang juga terdapat pada website yang tidak patut dicurigai, seperti di Friendster.com sendiri atau dari website bank online, Cross Site Scripting mencuri banyak data pelanggan atau anggota suatu komunitas di Internet.

Serangan Cross Site Scripting ini memiliki ciri khas sendiri. Ia hanya akan ditemukan pada berbagai website atau halaman yang memiliki fitur dinamik, alias dapat diubah-ubah sesuai dengan keinginan sang pengunjung website. Website seperti sebuah forum, guest book, registration form, search form, dan berbagai halaman serupa lainnya telah menjadi mangsa empuk jenis serangan ini.

Kenapa hanya dapat berada pada jenis website dinamik? Dan apakah tidak mungkin ada pada website tipe statik? Karena yang akan dilakukan Cross Site Scripting adalah menyusupkan sebuah script yang dapat meragukan para pengunjung website ke dalam sebuah halaman website yang legal (seperti menambahkan di halaman login sebuah online bank). Kita akan membahas contoh nyatanya langsung nanti.

Memang Cross Site Scripting sangat jarang ditemukan di website statik, atau bahkan tidak ada, namun bukan berarti kita aman dari hal semacam ini. Alasannya? Dapat kita lihat di bawah ini!

Why Cross Site Scripting is not CSS?

Seringkali orang mengartikan Cross Site Scripting mentah-mentah menjadi CSS, dan itu membuat bingung karena CSS secara pribadi sebenarnya dimaksudkan dengan Cascading Style Sheet.

Tidak jarang juga para ahli keamanan dan ahli Inernet menyebutkan Cross Site Scripting sebagai XSS (di mana tanda X dibaca sebagai Cross), agar jika kita mendengar atau mengetahui seseorang tentu orang ini bermaksud mengatakan jika dia menemukan kelemahan Cross Site Scripting di dalam situs web tersebut.

How dangerous is XSS?

Menjawab pertanyaan, kenapa Cross Site Scripting ini begitu berbahaya jika hanya ada pada website yang memiliki fitur dinamik? Maka kita akan berandai-andai sedikit. Apabila dalam 15 menit terakhir kita telah mengunjungi sekitar 20 website, maka hitunglah, berapa website yang memiliki kolom, pengisian bahan pencarian (Search Form), Login Page, Registration Form, Posting, dan berbagai halaman lain yang memungkinkan seorang pengunjung mengubah informasinya sesuai dengan keinginannya? Tentu kita akan menemukan jumlah yang lumayan banyak.

Cross Site Scripting juga dikatakan berbahaya karena ia melakukan injeksi VBScript, JavaScript, HTML, ActivateX, dan Flash untuk melakukan penipuan terhadap pengguna lain yang sebenarnya pada sebuah situs layanan. Pencurian Cookies (tenang, ini bukan apapun untuk dimakan, dan akan dijelaskan nanti), Username dan Password, serta data identitas diri lainnya menggunakan jenis serangan ini.

Example of XSS in Forum Machine

Forum Machine seperti vBulletin, Invision Power Board, phpBB, dan berbagai produk dari vendor lainnya temakan oleh jenis serangan Cross Site Scripting ini. Berikut adalah contoh yang akan sedikit kita bahas, sebuah XSS yang bekerja pada vBulletin versi 3.5.3.

Pertama sekali tentunya kita diharuskan mencari sebuah website yang masih menggunakan vBulletin dengan versi 3.5.3 ke bawah. Melakukan registrasi sebagai member di dalam forum tersebut, kemudian mengikuti langkah berikut:

1. Pergilah ke halaman http://www.forum-vBulletin-nya.com/profile.php?do=editpassword

2. Isi kolom password dengan menggunakan password dari account kita di website tersebut.

3. Isi bagian emai dengan JavaScript yang masih mengandung email kita, seperti: email@web.de"><script>alert(1)</script>.nomatt

4. Pergilah ke halaman http://www.forum-vBulletin-nya.com/profile.php?do=editoptions dan berikan tanda cek pada pilihan "Receive Email from Other Members"

5. Selanjutnya bukalah halaman http://www.forum-vBulletin-nya.com/profile.php?do=mailmember&u= {ID Mangsa}

Yang akan terjadi adalah, seorang administrator website tersebut akan kita kirimi email, yang tentunya di email tersebut, alamat email pengirimnya adalah seperti yang kita tulis di atas, dan mengadung JavaScript untuk memodifikasi script yang dikirimkan dengan script yang dapat mencuri cookies ataupun melakukan tindakan pencurian lainnya?

Namun untuk mencari mangsa dan menggunakan teknik ini ternyata tidaklah mudah seperti yang kita bayangkan, karena ada kriteria yang harus dimiliki si website, yaitu memiliki setting dengan detail seperti dibawah ini:

Enable Email features=Yes
Allow Users to Email Other Members=Yes
Use Secure Email Sending=No
forum/admins.options.php?do=options&dogroup=email
It sound that conditions are deafulity OK;

Apabila yang kita serang adalah sebuah website yang menggunakan mesin forum vBulletin 3.5.3 namun tidak memiliki setting seperti yang tertulis di atas, maka penyerangan tidak akan berjalan selancar yang diinginkan.

Concept of Stealing Password using XSS

Siapa yang tidak tahu World of Warcraft? Sebuah online game yang memang sangat terkenal, dan memiliki sebuah website yang beralamatkan di http://www.worldofwarcraft.com. Siapa menyangka, ternyata perusahaan terbesar dunia dalam Online Game, yang juga dikenal dengan nama Blizzard, masih membiarkan celah seperti ini pada websitenya?

Dengan menambahkan alamat website http://www.sate.name/ pada bagian akhir URL untuk login pada login page worldwarcraft.com yang beralamatkan di https://www.worldwarcraft.com/login/login?service= ternyata dapat membuat seorang user ter-redirect ke website http://www.sate.name setelah melakukan login dengan menggunakan username dan password yang valid.

Apabila yang kita simpan sebagai pengganti http://www.sate.name adalah sebuah URL page dimana kita menyimpan sebuah halaman login World of WarCraft yang palsu, dan kemudian sedemikian rupa membuat username dan password yang dimadukkan seorang pemain World of WarCraft yang asli tersimpan dengan sempurnam, kemudian membuatnya kembali membuka halaman login World of WarCraft yang asli, maka kita sudah dapat dikatakan mencuri username dan password orang tersebut dengan menggunakan Redirection XSS Attack

(Print This Page) | (Cetak Halaman Ini)

(Berlangganan Artikel Via Email)
(Subscribed to the Article Via the Email)

Delivered by FeedBurner