Agan seorang pembuat website yang client udah buanyak? Atau seorang mahasiswa yang akan membuat project untuk sidang tugas akhir skripsi berbasis web. Kalo bener iya, agan perlu membaca tulisan ane ini gan. Cara Aman Terhindar Dari Serangan XSS (HACK), soalnya rawan banget kalo project website yang dibuat untuk dihack orang nakal.
Cara Hacker Gunakan XSS
Udah pada tau apa itu xss belum gan? Istilah XSS adalah singkatan dari Cross Site Scripting, dan XSS ini bukan istilah baru dalam dunia hacking lho gan. Karena XSS menjadi salah satu metode / cara klasik yang digunakan hacker buat mencuri data dan informasi korban.
Biasanya ya gan serangan XSS dilakukan oleh para hacker pada situs-situs yang interaktif, user bisa input teks, dan input tersebut akan disimpan dalam database atau media penyimpanan lain. Contoh aplikasi yang rawan serangan ini yaitu buku tamu atau guestbook, forum, dan komentar.
Cara Hack Website Dengan XSS
Waduh ane kasih cara ga bener nih, tapi gpp dah yang penting agan bisa menjadikan pelajaran biar website atau aplikasi yang dibuat lebih aman lagi ya gan. Cara hack website dengan xss yaitu dengan menyisipkan kode entah itu html, css, bahkan javascript kedalam inputan form.
Untuk contoh saja, misal agan membuat form seperti pada kode dibawah ini ya gan.
<form action=”proses.php” method=”POST”>
Nama : <input name=”nama” type=”text” />
Komentar: <textarea cols=”60″ name=”komentar” rows=”10″></textarea>
<input type=”submit” value=”Kirim” /></form>
Kemudian file proses.php yang agan punya seperti dibawah ini.
<?php
$nama = $_POST[‘nama’];
$komentar = $_POST[‘komentar’];
echo ” Nama : “.$nama.” “;
echo ” Komentar : “.$komentar.” “;
?>
Coba agan eksekusi dari yang form kemudian proses tersebut, tidak ada masalah kan ya? Tapi itu menjadi masalah besar jika ternyata ada anak nakal yang menyisipkan script / kode seperti dibawah ini, terus apa yang terjadi?
<div style=”background:#000;color:#fff;position:fixed;z-index:9999;height:500px;”>
<h1>Website Ini Hacked By Anak Alay</h1>
</div>
Bahaya kan? Karena langsung ditampilkan ke browser, karena memang kode tersebut memang html dan css seperti biasa. Akan tampil seperti gambar dibawah ini.
Cara Terhindar Dari XSS
Oleh karena itu, ada beberapa cara gan untuk antisipasi hal tersebut.
Cara pertama, gunakan magic quotes. option magic_quotes_gpc harus kondisi ON. Cara mengaktifkan bisa melalui php.ini jangan lupa restart APACHEnya ya gan. Jadi kalo agan pake magic qoutes, maka tanda petik dua ” akan diubah menjadi \” gitu gan.
Cara kedua, gunakan htmlentities. Dengan htmlentities, akan lebih efektif dari cara pertama gan. HTML entities adalah dengan mengubah suatu karakter jadi html entity. Maksudnya gini, kita tahu kalo tanda lebih kecil (<) ke halaman website, maka htmlnya adalah < dan > untuk tanda lebih besar. Kenapa ga pake langsung? Ya karena kalo misal <b> akan dianggap sebagai tag html kan?
Jadi, html entities akan istilahnya memaksa agar dari inputan tersebut menjadi output tampilan html, bukan kode/tag html. Kan ini lebih aman gan, kali aja ada hacker nakal yang jail bisa antisipasi. Semoga dengan membaca tulisan ane ini, agan sebagai pembuat website atau aplikasi berbasis web lainnya lebih peduli dan hati-hati terhadap serangan xss.
Komentar