XSS – Cross-site Scripting teknik godaman dan cara mengatasinya
Cross-site scripting (XSS) adalah satu teknik godaman di atas kelemahan kod laman sesawang. Kelemahan ini membenarkan penyerang menghantar kod ataupun skrip yang merbahaya yang turut merisikokan kepada kecurian data. Berdasarkan carta pai yang disediakan oleh Web Hacking Incident Database 2011 dibawah, XSS merupakan antara kaedah godaman yang paling popular dengan peratusan 5.9%.
Berdasarkan http://www.xssed.com/ , laman sesawang jabatan kerajaan Malaysia juga tidak terlepas dari menjadi mangsa serangan XSS. Dengan menggunakan kata kunci carian ‘gov.my’, keputusan yang kita dapati adalah beberapa laman sesawang kerajaan yang telah diserang XSS:
Bagaimana penyerang melakukan serangan XSS?
XSS dilakukan dengan cara memasukkan skrip-skrip merbahaya, kebiasaannya menggunakan Javascript (selain itu boleh juga menggunakan VBScript, ActiveX, HTML ataupun Flash) kedalam apa sahaja ruang input yang ada di dalam laman sesawang yang mempunyai kelemahan. Oleh itu, penyerang-penyerang ini amat berminat dengan ruang-ruang input seperti carian, borang, komen dan login, dimana mereka boleh memasukkan input kepada laman web untuk melakukan serangan.
Penyerang akan mencuba memasukkan kod Javascript ke dalam mana-mana ruang input yang ada, contohnya, borang untuk komen seperti dibawah.
Sekiranya script ini berjaya di execute, ianya akan memaparkan Javascript alert, dan ini bermakna laman sesawang tersebut berisiko kepada serangan XSS.
Itu hanyalah permulaan, penggodam boleh melakukan pelbagai kerosakkan kepada laman sesawang bergantung kepada tahap kemahiran penggodam; contohnya seperti memaparkan laman sesawang palsu dan mencuri data-data penting seperti cookie.
Penyerang berupaya untuk menyamar sebagai pengguna dan mendapatkan akses penuh kepada laman sesawang dengan menggunakan cookie yang diperolehi. Maka, terdedahlah maklumat-maklumat pengguna kepada penyerang dan ianya berisiko untuk dieksploitasi.
Cara mengatasinya
Terdapat beberapa cara untuk mengelakkan serangan XSS. Antara cara yang boleh digunakan adalah:
- Menggunakan
. Anda boleh menukar nilai X-XSS-Protection kepada “1” untuk enable XSS protection ataupun “0” untuk disable. - Mengunakan kaedah (method)
. Kaedah ini menukarkan sebarang karekter istimewa kepada HTML (menukarkan kod JavaScript ke HTML). - Menggunakan library pengesahan (validation) yang sedia ada seperti ezyang/htmlpurifier yang boleh di install menggunakan composer.
Mengaturcara PHP dengan selamat
PHP merupakan antara bahasa pengaturcaraan yang mudah, tetapi tidak semua pengaturcara PHP tahu menulis kod yang selamat daripada digodam. Harus diingatkan bahawa laman sesawang yang anda bangunkan akan sentiasa berisiko di godam. Maka, pengaturcara hendaklah sentiasa membekalkan diri dengan pengetahuan pengaturcaraan yang selamat.Two Sigma Technologies amat mengambil berat mengenai isu keselamatan dalam pengaturcaran PHP, dengan itu kami memperkenalkan sebuah kursus yang sentiasa mendapat sambutan hangat dari peserta, iaitu kursus PHP Secure Programming. Kursus ini akan mendedahkan kepada peserta mengenai teknik-teknik yang digunakan oleh penggodam, termasuklah teknik XSS, SQL-Injection beserta cara-cara mengatasinya dengan menulis kod PHP yang selamat.Sekiranya anda berminat untuk kami mengendalikan Kursus PHP Secure Programming di tempat anda, sila hubungi kami di talian 03-61880601 ataupun menerusi emel sales@2-sigma.com untuk mendapatkan kandungan kursus atau keterangan yang lebih lanjut. Selain itu anda juga boleh melawati http://www.training.2-sigma.com/ untuk mendapatkan tarikh-tarikh kursus yang terdekat.
0 comments:
Post a Comment