Kelemahan sistem keselamatan ini membolehkan pengguna lain memasuki sesuatu kawasan yang tidak dibenarkan oleh penyelia laman web. Segalanya kelihatan seperti biasa sebaliknya pengondam sedang memindahkan segala data sulit dari pengguna lain dan memasuki sistem laman web seolah-olah sebagai pengguna yang sah.

Terma "Cross-site Scripting" lebih mudah ditafsirkan melalui memasukkan sesuatu laman web ke dalam satu "frame" dan dengan menggunakan fungsi Javascript untuk membaca dan memindahkan segala maklumat laman web tersebut ke dalam laman web yang lain. Singkatan "Cross-site Scripting" pada asalnya dinamakan sebagai CSS, tetapi disebabkan ianya mungkin disalahtafsirkan sebagai "Cascading Style Sheet" maka singkatannya ditukarkan kepada XSS.

Proses XSS

Berikut merupakan antara teknik-teknik dan senario XSS yang biasa dilakukan oleh pengondam dalam proses mencuri segala maklumat sulit dari sesuatu laman web.

Serangan Mudah

  1. Pengguna_A sedang menghantar satu artikel ke dalam jaringan sosial
  2. Ketika pengguna_B sedang membaca artikel tersebut, XSS pengguna_A akan mencuri cookie pengguna_B
  3. Pengguna_A kemudiannya akan merampas session pengguna_B dan log masuk sebagai pengguna_B yang palsu

Serangan DOM (Document Object Model)

  1. Pengguna_A menghantar URL satu laman web palsu kepada pengguna_B melalui email atau lain-lain kaedah
  2. Pengguna_B klik URL tersebut
  3. Laman web palsu tersebut akan memuat turun Javascript ke dalam komputer pengguna_B dan disimpan secara tetap
  4. Kandungan Javascript tersebut mengandungi kod-kod yang membolehkan ia mengawal keseluruhan komputer pengguna_B
  5. Pengguna_A mempunyai data-data lengkap komputer pengguna_B yang telah dihantar oleh Javascript tersebut dan cuba mencuri maklumat-maklumat sulit dari komputer tersebut.

Serangan Biasa

  1. Pengguna_A selalu mengunjungi satu laman web yang dikendalikan oleh pengguna_B. Laman web tersebut menyediakan kemudahan log masuk dengan menggunakan nama pengguna dan kata laluan serta beberapa maklumat sulit seperti profil bil, kad kredit dan lain-lain.
  2. Pengguna_C akan memerhatikan laman web tersebut dan mengetahui bahawa terdapat sistem pertahanan terhadap XSS.
  3. Pengguna_C membuat satu URL palsu yang mengandungi ancaman dan menghantarnya kepada pengguna_A
  4. Pengguna_A melawat URL yang dihantarkan oleh pengguna_C. Dan kemudiannya dia mengunjungi kembali laman web pengguna_B.
  5. Javascript yang telah dimuat turun ke dalam komputer pengguna_A akan menghantar cookie tersebut ke pengguna_C. Kemudian pengguna_C akan mempunyai kemasukkan palsu sebagai pengguna_A dalam laman web pengguna_B tanpa pengetahuan pengguna_A dan mencuri segala maklumat sulit pengguna_A.

Serangan Berterusan

  1. Pengguna_A membangunkan satu laman web yang menyediakan fungsi penghantaran sebarang maklumat untuk dipaparkan kepada pengguna lain di masa hadapan.
  2. Pengguna_B mendapati laman web tersebut terdedah kepada serangan XSS.
  3. Pengguna_B akan menghantar sebarang maklumat, artikel atau data-data supaya lebih ramai pengguna datang ke laman web tersebut.
  4. Semasa pengguna lain log masuk ke dalam laman web tersebut untuk membaca, segala cookie pengenalan setiap orang akan mula disalin dan dihantar kepada pengguna_B tanpa pengetahuan mereka.
  5. Kemudian pengguna_B akan log masuk ke dalam laman web tersebut dengan menggunakan akaun pengguna lain sebagai pengguna palsu dan mula membuat kecoh di sana.
Penilaian: 
1
Your rating: None Average: 1 (1 vote)

Komen

johnburn's picture

Artikel yang bgus.
Still boleh improve dengan menambah contoh kod yang vulnerable kepada xss ini dan cara untuk securekan kod tersebut.

parasolx's picture
Admin

terima kasih atas komen tersebut johnburn. akan kami cuba usahakan dengan melihat beberapa artikel yang lain. sekiranya johnburn ade cadangan artikel yang berkaitan dengan XSS ini, boleh postkan sahaja di sini, atau hantarkan email kepada pihak saya (parasolx) untuk kami review.

------

Hadafi Solution & Resources: http://parasolx.net
Professional in Drupal web development, theme designing, consultation and training