Apa itu XSS dan apa yang mengacu kepada? Alias XSS Cross Site Scripting adalah sisi klien serangan di mana seorang penyerang menciptakan link jahat, script berisi kode yang kemudian dilaksanakan dalam browser korban. Kode script bisa bahasa apapun yang didukung oleh browser, tetapi sebagian besar HTML dan Javascript yang digunakan bersama dengan embedded Flash, Java atau ActiveX. Apa yang bisa Cross Site Scripting digunakan untuk? Cross Site Scripting dapat digunakan untuk berbagai hal, seperti sesi-pembajakan, browser serangan, phishing, propaganda dan bahkan cacing! Namun masih memerlukan korban untuk mengklik link jahat diciptakan oleh penyerang. Bagaimana bisa Satu mendapatkan korban untuk mengklik link XSS? Cara termudah untuk membuat orang meng-klik link berbahaya adalah untuk membuat mereka terlihat otentik dan non - jahat. Memberi mereka alasan kemudian adalah rekayasa sosial-bagian yang harus mudah kecuali jika korban sadar serangan tersebut dan / atau memiliki tindakan terhadap Cross Site Scripting, seperti NoScript. Bagaimana Satu menghindari XSS-links tampak mencurigakan? Hal ini biasanya dilakukan dengan penyandian, layanan url pendek, mengarahkan dan bahkan flash! Yang tipe Cross Site Scripting yang ada? Jenis yang paling umum adalah GET dan POST berbasis XSS. Namun Cross Site Scripting juga bisa dipicu melalui cookie. Beberapa individu mengklaim bahwa XSS juga dapat dibagi menjadi gigih dan non-persistent tetapi juga jenis-jenis dan harus disebut sebagai injeksi yang berbeda kelas bug / kerentanan. Apa perbedaan antara GET-POST-XSS? Perbedaannya adalah bahwa ketika GET-variabel yang digunakan adalah mungkin untuk melakukan serangan XSS normal mana penyerang mengirimkan crafted URL jahat kepada korban yang kemudian dijalankan ketika korban membuka link dalam browser. Dengan variabel POST- penyerang dapat f.ex. menggunakan flash untuk mengirim korban ke POST-XSS situs rentan karena tidak mungkin untuk membuat URL ketika POST-variabel yang sedang digunakan. Apakah ada sub-kategori dari Cross Site Scripting? Pada saat ada XSSR dan XSSQLI. Orang bisa mengatakan bahwa XSRF / CSRF milik yang sama kategori, namun metode serangan terlalu banyak berbeda dari tradisional Cross Site Scripting. CSSR alias XSSR atau Cross Site Redirection Script digunakan untuk mengarahkan korban kepada halaman lain enggan. Halaman bisa misalnya berisi phishing template, kode serangan browser atau beberapa kasus di mana data atau skema URI javascript digunakan: sesi-pembajakan. XSSQLI adalah campuran Cross Site Scripting dan SQL Injection, di mana korban ketidaktahuan mengklik link berbahaya SQL Injection berisi instruksi untuk suatu daerah di website yang membutuhkan hak istimewa yang tamu atau anggota tidak memiliki. XSRF atau CSRF (kadang-kadang disebut sebagai C-Surf) berdiri untuk Cross Site Request Pemalsuan yang digunakan untuk mengirim masukan dari pihak ke-3 situs ke situs target. XSRF dapat dalam beberapa kasus dipicu hanya dengan melihat gambar yang dirancang khusus tetapi yang paling sering digunakan adalah URL. Dengan Cross Site Request Pemalsuan itu mungkin untuk f.ex. mengubah password korban jika situs target tidak diamankan dengan baik dengan bukti dll Apa itu XST dan dapat digunakan untuk apa saja? XST juga dikenal sebagai Cross Site (Script) Tracing adalah suatu cara untuk menyalahgunakan HTTP Trace (Debug) protokol. Apa pun yang seorang penyerang mengirimkan ke web-server yang telah diaktifkan akan mengirim TRACE jawaban yang sama kembali. Jika penyerang mengirimkan berikut: Code: TRACE / HTTP/1.0 Host: target.tld Custom- header: Maka penyerang akan menerima sama "Custom- header: alert (0) karena banyak situs yang berbeda pencegahan terhadap Cross Site Scripting. Sebaliknya kita menciptakan string kustom yang dalam banyak kasus wont memicu apa pun yang bisa mengubah output dari kesalahan menjadikan situs atau halaman yang tidak rentan. Contoh string yang efektif yaitu: "kata kunci '/ \> < " '/ \> Dan adalah karena ini adalah bypass umum terhadap XSS-filter! Dengan pemikiran, kita menggunakan string berikut: "haxxor '/ \>
You searched for "haxxor\'/ \>< which returned no results. ... Dalam kasus ini setelah tag string string disandikan dengan benar, namun di dalam string tag hanya punya beberapa ditambahkan garis miring yang tidak apa-apa dalam kasus ini. Pada dasarnya kita dapat melewati ini dengan mudah dengan: "> Dalam kasus ini setelah tag string string disandikan dengan benar, namun di dalam string tag hanya punya beberapa ditambahkan garis miring yang tidak apa-apa dalam kasus ini. Pada dasarnya kita dapat melewati ini dengan mudah dengan: ">