Mencegah Serangan Bug XSS pada sebuah Situs

XSS atau Cross Site Script adalah suatu bug pada sebuah sistem web yang mengakibatkan fatal,kalau bug ini tidak di patch oleh admin akan mengakibatkan ganguan pada sebuah situs.bug ini sering kali di temukan di situs-situs ternama seperti google,amazon,paypal dll.

Serangan ini biasanya digunakan untuk mencuri cookie,penyebaran malware,hingga sesion hijacking atau pembajakan session.

serangan ini biasanya dapat menginjeksi kode javascript terhadap suatu web,biasanya penyerang mampu memperintahkan kode-kode bahaya ke sebuah situs agar dapat mendapatkan keuntungan atau dapat mencuri sebuah data dalam web.

untuk itu admin akan mempersiapkan sebuah scrip bug XSS ini.

<html>

<head>

<title>Patch Bug XSS</title>

</head>

<body>

<h1>mengatasi celah  XSS. </h1>

<form action="" method="post">

<input type="text" name="q" value="" />

<input type="submit" value="Search" />

</form>

<?php

if (isset($_POST['q'])) echo 'Anda mencari : '. $_POST['q'];

?>

<br><br>

Ikuti tutorial di <a href="https://cyberlinksec.org/">Cyberlinksec</a>

</body>

</html>

lalu kalian masukan scrip tersebut pada imput pencarian seperti ini

<script>alert(cyberlinksec');</script>

Jika saat menekan tombol search kamu menemukan tombol error scrip,berarti scrip yang tersebut memiliki celah xss.

Untuk mengambil cookie dari situs maka kamu masukan code script 

<script>alert(document.cookie);</script>

tahap selanjutnya biasanya para pelaku serangan XSS akan mengirimkan sebuah perintah XSS

http://google.com/xss.php?q=%3Cscript%3Ealert%28%27Terimakasih%20cookienya%20;%29%27%29;alert%28document.cookie%29;%3C/script%3E

Lalu bagaimana cara mengatasi bug XSS tersebut ??

Pertama, lakukan encoding untuk karakter <, >,’ dan “. LIhat encoding dibawah :

& –> &

< –> <

> –> >

” –> “

‘ –> ‘

/ –> /

Untuk fungsi diatas jika anda menggunakan PHP anda dapat memakai fungsi htmlspecialchars() ini akan meng-encode semua Tag HTML dan spesial karakter.

Atau anda dapat menambahkan filter dengan str_replace 

$input = str_replace(array(‘&’,’<’,’>’), array(‘&amp;’,’&lt;’,’&gt;’), $input);

Atau menggunakan Open Source Libraries mengenai pencegahan XSS attack seperti PHP AntiXSS , HTML Purifier ,  xssprotect , XSS HTML Filter