Oh... gitu, berarti XSS gak bahaya dong, tinggal dihapus aja kan entry guestbook yang bermasalah. Jawbannya: nggak juga, serangan kayak gini mah ga seberapa. Tinggal dimatiin javascript-nya, dan semua yang dikerjain attacker akan sia-sia. Seberapa parah serangan XSS ini tergantung kreatifitas anda, mulai dari cuma ngeganggu, sampe pencurian password + deface.
Lantas, gimana dong cara mencegahnya ? Gak susah kok, seperti biasa, yang diperlukan hanyalah usaha + kemauan. Kalo website kamu menggunakan PHP, maka ada function sederhana yang gunanya untuk menghilangkan tag HTML pada suatu string. OK, dari pada bingung mending kita liat code-nya.
$sebelum="
Hi ! Apa kabar ?
";
$sesudah=strip_tags($sebelum);
echo "Sebelum: $sebelum";
echo "
Sesudah: $sesudah";
?>
Dengan menggunakan code seperti di atas, string $sebelum yang berisikan tag HTML disanitasikan dengan perntah strip_tags(), sehingga menjadi string biasa tanpa tag Dengan Javascript pun bisa kok. Kurang lebih begini code-nya:
function strip_tags( str ){
// http://kevin.vanzonneveld.net
// + original by: Kevin van Zonneveld (http://kevin.vanzonneveld.net)
// * example 1: strip_tags('Kevin van Zonneveld');
// * returns 1: 'Kevin van Zonneveld'
return str.replace(/]+>/gi, '');
}
OK, sekian dulu yach... Semoga bermanfaat.
http://www.hadoitz.co.nr
http://www.friendster.com/hadoitz
| Pertama di Indonesia, Bisnis online yang Terbukti Membayar ? |
0 comments:
Posting Komentar