3. 362155401193 362155401194
Nama Anggota Kelompok :
362155401191
362155401215 362055401209 362055401208
Diva Dwi
Febriyanti
Siti
Handayanti
Mohammad
Akbar R
Tri Ayuk
Lestari
Rizki
Maulana
Irvan Wahyu
Fadila
6. Cross-Site Scripting (XSS) adalah salah satu jenis serangan cyber yang cukup
diperhitungkan. Bahkan, serangan ini pernah menyerang platform yang
ternama sekalipun seperti Facebook, Google, dan PayPal. Beberapa orang
yang berpengalaman di bidang IT Security mungkin sudah tidak asing dengan
beberapa hal yang disebut sebagai resiko keamanan pada aplikasi. Cross-site
scripting memanfaatkan kerentanan pada aplikasi web berupa input dan
output yang tidak divalidasi atau dikodekan.
Pengertian XSS
8. XSS bekerja dengan mengeksekusi skrip berbahaya di browser korban dengan
cara memasukkan kode berbahaya ke halaman web atau web aplikasi yang
sah. penyerang akan menghubungi para korban melalui forum, kolom
komentar, hingga message boards dengan mengunggah link untuk membuat
skrip yang berbahaya. Ketika korban mengklik link tersebut, skrip mulai
menyerang dan menyamar sebagai si korban. Melalui cara inilah, para hacker
dapat mengetahui data-data milik korban.
Cara kerja XSS
10. Situs penyerangan
XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS
dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client
script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari
situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass
keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi
berbahaya.
11. Tipe serangan xss
1.Reflected XSS
SuntingReflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah
dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan
dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa
mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak
session pengguna.Mekanisme pertahanan menghadapi serangan ini adalah dengan
melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh
pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.
12. Script yang dimasukkan kedalam
web:
preg_replace('/<(.*)s(.*)c(.*)p(.*)p(.*)t/i', ‘’, $request-
>nama);
(mengganti kata script menjadi kosong atau dihapus)
strip_tags($coba1, '<p>,<ul>,<li>’)
(menghapus tag selain tag yang diijinkan diatas)
13. 2.StoredXSS
SuntingStored XSS lebih jarang ditemui dan dampak serangannya lebih besar.
Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS
terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan
kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang
memasukkan kode HTML atau client script code lainnya pada posting mereka.
Serangan ini lebih menakutkan,Mekanisme pertahanannya sama dengan
reflected XSS: jika pengguna diizinkan untuk memasukkan data, lakukan validasi
sebelum disimpan pada aplikasi.
15. Kerusakan karena serangan kerentanan XSS dapat diversifikasi ketika
terjadi pada aplikasi web. Mulai dari session pengguna yang dibajak dan,
ketika digunakan dengan serangan Social engineering, dapat menyebabkan
hilangnya data sensitif pengguna. Dengan tereksploitasi serangan XSS,
penyerang dapat meniru korban dan mengambil alih akunnya.
17. karena selama ada celah atau kelemahan
dalam website, kamu bisa saja terkena hack. Peretas
atau hacker bisa saja mengakses website-mu kemudian
mengeksploitasi website-mu atau informasi yang ada di
dalamnya, alias melakukan hacking.
18. Penyebab situs website rentan
Password Kurang Kuat
Plugin dan Tema Sembarangan
Tidak Pernah di Upgrade
Server Abal- Abal
Kurangnya Security Awareness
19. “CONTOH STUDY
KASUS”
Peristiwa yang akan diangkat kali ini
adalah kejadian di tahun 2004 dimana
KPU memperkenalkan sistem teknologi
terbarunya senilai Rp.152 miliar. Proyek
prestisius ini memiliki harga yang
selangit namun kenyataannya tidak
menjamin keamanan dari berbagai
serangan siber. Bermula dari aksi KPU
yang klaim secara sepihak bahwa sistem
teknologi informasi yang digunakan
sangat canggih sehingga tidak mungkin
di retas.
20. Namun, aksi pamer teknologi
KPU itu menarik banyak
perhatian dan ternyata terdapat
banyak celah dalam sistem
teknologi tersebut. Xnuver, yang
bernama Dani Firmansyah,
sebagai pelaku peretasan
tersebut. Xnuver melakukan
pembobolan situs KPU untuk
melakukan beberapa tes sistem
keamanannya saja.
21. CREDITS: This presentation template was created by Slidesgo, and
includes icons by Flaticon, and infographics & images by Freepik
Thanks!