19 Hal Yang Anda Dapat Lakukan Dengan XSS - Indonesian Code Party

19 Hal Yang Anda Dapat Lakukan Dengan XSS

Hasil gambar untuk cross site scripting
Apa itu XSS ? XSS merupakan kependekan yang
digunakan untuk istilah cross site scripting.

XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML  atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Oke, sekarang langsung keintinya 😁
  • Ad-Jacking - Jika Anda berhasil mendapatkan XSS yang tersimpan di situs web, cukup masukkan iklan Anda di dalamnya untuk menghasilkan uang ;)
  • Click-Jacking - Anda dapat membuat hidden overlay pada halaman untuk membajak klik korban untuk melakukan tindakan jahat.
  • Session Hijacking - Cookie HTTP dapat diakses oleh JavaScript jika HTTP ONLY flag tidak ada di cookie.
  • Content Spoofing - JavaScript memiliki akses penuh ke code script klien dari aplikasi web dan karenanya Anda dapat menggunakannya, menampilkan atau memodifikasi konten yang diinginkan.
  • Credential Harvesting - Bagian paling menyenangkan. Anda dapat menggunakan popup keren untuk memanen kredensial. Jika Firmware WiFi telah diperbarui, masukkan kembali kredensial Anda untuk otentikasi.
  • Crypto Mining - Ya, Anda dapat menggunakan CPU korban untuk menambang bitcoin untuk Anda!
  • Bypassing CSRF Protection - Anda dapat membuat permintaan POST dengan JavaScript, Anda dapat mengumpulkan dan mengirimkan token CSRF dengan JavaScript, apa lagi yang Anda inginkan.
  • Keylogging - Anda semua pasti tahu apa ini.
  • Merekam Audio - Ini membutuhkan otorisasi dari pengguna, untuk bisa mengakses mikrofon korban. Berkat adanya HTML5 dan JavaScript.
  • Mengambil Gambar / Taking Pictures - Hampir sama dengan merekam audio, tetap dibutuhkan otorisasi dari pengguna untuk bisa mengakses webcam korban.
  • Geo-Location - Sama kayak yg diatas, tetapi jauh lebih baik jika korban mengaktifkan GPSnya.
  • Mencuri data penyimpanan web HTML5 - HTML5 memperkenalkan fitur baru yaitu penyimpanan web. Sekarang situs web dapat menyimpan data di browser untuk digunakan nanti dan tentu saja JavaScript dapat mengakses penyimpanan itu melalui
    window.localStorage() dan window.webStorage()
  • Browser & System Fingerprinting - JavaScript dapat menemukan nama browser yg dipakai, versi, plugin yang terpasang dan versinya, sistem operasi, waktu sistem, bahasa, dan resolusi layar Anda.
  • Pemindaian Jaringan - Browser korban dapat disalahgunakan untuk memindai port dan host dengan JavaScript.
  • Crashing Browser - Ya! Anda dapat merusak browser korban
  • Mencuri Informasi -  Anda dapat mengambil informasi dari halaman web dan dikirimkan ke server Anda sendiri.
  • Redirecting - Anda dapat menggunakan javascript untuk mengarahkan pengguna ke halaman web pilihan Anda.
  • Capturing Screenshot - Berkat HTML5 lagi, sekarang Anda dapat mengambil screenshot halaman web
  • Perform Actions - Anda bisa mengendalikan browser, Ada celah XSS di situs media sosial? Anda dapat mengirim pesan, mengubah informasi, dan lainnya.



Posting Komentar

0 Komentar