Cara menggunakan xss clean in php

1. CROSS SITE SCRIPTING (XSS)

XSS merupakan salah satu jenis serangan injeksi kode (code injection attack) yang memungkinkan suatu website untuk menampilkan kode berbahaya yang kemudian dieksekusi pada web browser pengguna (Grossman, Jeremiah., Hansen, Robert., D. Petkov, Petko., Rager, Anton,2007). Penyerang melakukan serangan XSS dengan cara memasukkan kode HTML atau kode client script lainnya ke suatu website. Dengan menggunakan serangan ini  penyerang bisa  melakukan web deface yang dimaksudkan untuk mengelabui pengguna sehingga penyerang bisa mendapatkan informasi sensitif, ataupun menyimpan aplikasi berbahaya.

Resiko yang mungkin diakibatkan dari kerentanan aplikasi web terhadap XSS diantaranya adalah pencurian akun pengguna. Hal ini sangat berbahaya karena penyerang bisa mendapatkan informasi sensitif  milik pengguna. Serangan XSS dapat terjadi karena suatu aplikasi web yang membutuhkan masukan dari pengguna tidak tersanitasi dengan baik.

1. CROSS SCRIPTING ATTACK

Cross Scripting Attack juga biasa dikenal dengan cross-site scripting. Seorang cracker bisa  mengeksploitasi pertukaran cookies antara browser dan webserver. Fasilitas tersebut dapat mengaktifkan script untuk mengubah tampilan web. Script bisa menjalankan malware, membaca informasi penting, dan mengekspos data sensitive seperti nomor credit card dan password.

Sementara itu, kerawanan pada script-script web bisa terjadi pada semua bahasa pemrograman web dan semua ekstensi aplikasi, termasuk VB, Visual C++, ASP, TCL, Perl, PHP, XML, CGI dan Coldfusion.

Pada dasarnya, attacker akan mengeksploitasi kelemahan dari sebuah aplikasi, seperti CGI script yang tidak memeriksa input atau kerawanan pada IIS RDS pada showcode. asp yang mengizinkan dijalankannya perintah secara remote (remote command priviledges).

1.  XSS Attack

XSS hanya perlu dilakukan pada situs dengan memasukkan perintah html di akhir anurl atau form yang terkena bugs xss. Berikut contoh situs yang terkena xss attack.

inurl:”/showcatrows.php?CategoryId=”

Cari sebuah situs di google dengan kata kunci :

Di sini penulis mendapatkan situs dengan url :

1. Cukup tambahkan sebuah script html di ujung urlnya, maka situs pun akan terinjeksi kode html tersebut.

Gambar 2.1. Hasil Penambahan Script

Hacking xss bersifat sementara dan bisa dikatakan sebagai hiburan saja.Sebab jika Anda kembali ke halaman index utama atau me-refresh, maka halaman kembali seperti.Maka hacker lebih sering menggunakan hacking database atau yang sering di kenal ialah SQL Injection.

Pada beberapa situs masih terdapat beberapa Vulnerability (kerentanan) yang menyebabkan pemilik situs tersebut masih berpotensi terkena XSS. Salah satunya mesin pencari / search mengambil data dari kata kunci yang dimasukan.  (Kevin spett, 2005). Misalnya pada Ruby On Rail.

Ruby On Rail merupakan salah satu Framework untuk aplikasi website (Hendrayana, 2007)

Detail Pengujian XSS pada Ruby On Rail :

1. Buka website yang akan kita coba uji. Apakah web tersebut aman atau tidak?
2. Ketika sudah mendapatkan web tersebut, kita inputkan script sebagai berikut di form search-nya, “<img src=”JavaScript:alert(‘Pengujian XSS pad RoR’);”> “.
3. Jika script diatas tereksekusi, maka web tersebut tidak aman. Dan jika script tersebut tidak tereksekusi maka web tersebut aman dari para hacker.

Namun jika kita masukan java script ini “<script>alert(‘contoh pengujian Xss pada CakePHP’);</script>” di uji di form komentar, maka akan tereksekusi sebagai text biasa bukan sebagai perintah.

1. Kesimpulan

Berdasarkan analisis yang kami lakukan dapat diperoleh kesimpulan bahwa :

1. Dalam XSS Attack, script yang dimasukkan ke dalam akhir url web tersebut dapat dieksekusi, jika web tersebut mengandung asp. Sehingga dapat mengeksploitasi dat yang akan di web tersebut.

1. Dari pengujian frameworks Ruby On Rail, dapat disimpulkan bahwa script akan tereksekusi di form search karena terkadang masih terdapat vulnerability, sehingga rentang terhadap script yang masuk pada form search yang berakibat situs tersebut dapat di hacke. Namun jika java script kita masukkan ke form komentar tidak tereksekusi, karena pada umumnya semua keywoard yang dimasukkan ke form komntar akan dianggap sebagai teks biasa.

Cara pencegahan XSS secara umum :

1. Karakter-karakter bahaya harus difilter dari input aplikasi web.
2. Filter harus diterapkan untuk nilai ASCII dan HEX.
3. IDS (Intruction Detection System) yang berfungsi pemberi sinyal pertama jika seseorang penyusup mencoba membobol system keamanan computer (Syahril Rizal, ST., M.KOM)

Untuk penanggulangan serangan XSS, Ruby on Rails   menyediakan beberapa alternatif   (Heiko Webers,2008) :

1. Menggunakan Rails sanitize( ) helper
2. Gunakan escapeHTML( )
3. Gunakan plugin SafeErb