Jika kalian sudah mempelajari tentang XSS, di tutorial kali ini saya akan menunjukan salah satu dampak yang dapat ditimbulkan dari serangan XSS yaitu Defacing. Deface yaitu mengubah tampilan dari sebuah website. Di tutorial ini saya akan menguji pada website local.
Di website ada sebuah kolom komentar, yang mana kita dapat memasukan nama dan sebuah komentar.
Untuk stored XSS, kode XSS akan disimpan didalam database. Jadi untuk stored XSS bersifat permanen, tidak seperti reflected XSS yang dapat terjadi jika user mengunjungi link yang ada payload XSS nya.
Jika kita memasukan payload dibawah ini pada kolom komentar kita akan mendapatkan kotak dialog alert. Siapapun yang mengunjungi link tersebut akan melihat sebuah kotak dialog.
Payload : <img src='x' onerror='alert(1)'>
Bagaimana jika payload nya seperti ini :
Payload : <script>document.documentElement.innerHTML = "<body style='background:black;color:white;'><h1>Your Website Has Been Hacked</h1></body>"</script>
*document.documentElement.innerHTML untuk mengubah kode HTML yang ditampilkan di website.
Hasilnya seperti ini, website sudah berhasil di deface dengan metode Stored XSS.
Tehniknya sangat sederhana namun dampaknya sangat besar. Segitu saja untuk tutorial kali ini semoga bermanfaat, silahkan bertanya di kolom komentar jika ada yang kurang dimengerti. Sampai jumpa pada tutorial berikutnya.
Di website ada sebuah kolom komentar, yang mana kita dapat memasukan nama dan sebuah komentar.
Untuk stored XSS, kode XSS akan disimpan didalam database. Jadi untuk stored XSS bersifat permanen, tidak seperti reflected XSS yang dapat terjadi jika user mengunjungi link yang ada payload XSS nya.
Jika kita memasukan payload dibawah ini pada kolom komentar kita akan mendapatkan kotak dialog alert. Siapapun yang mengunjungi link tersebut akan melihat sebuah kotak dialog.
Payload : <img src='x' onerror='alert(1)'>
Bagaimana jika payload nya seperti ini :
Payload : <script>document.documentElement.innerHTML = "<body style='background:black;color:white;'><h1>Your Website Has Been Hacked</h1></body>"</script>
*document.documentElement.innerHTML untuk mengubah kode HTML yang ditampilkan di website.
Hasilnya seperti ini, website sudah berhasil di deface dengan metode Stored XSS.
Tehniknya sangat sederhana namun dampaknya sangat besar. Segitu saja untuk tutorial kali ini semoga bermanfaat, silahkan bertanya di kolom komentar jika ada yang kurang dimengerti. Sampai jumpa pada tutorial berikutnya.
0 komentar:
Post a Comment