MOST HOT TIPS AND TRICK
- Bikin Software Trial Jadi Seumur Hidup

Ouww masa trial software sudah habis.... Pengen cari crack atau keygen nya susah juga apalagi untuk cari Serial Number nya, ehh ternyata ada juga solusi nya untuk mengatasi agar masa trial bisa jadi selamanya alias seumur hidup..
Begini cara nya... Read more >>


- Meningkatkan Kinerja Komputer

Langsung saja tidak usah kelamaan. Beberapa tips meningkatkan kinerja komputer yang mudah-mudahan berguna buat anda. Tips tersebut sebagai berikut :
Begini cara nya... Read more >>


15 Januari 2011

XSS Injection Tutorial Part l

:: Pendahuluan::
Apa itu XSS dan apa yang mengacu kepada

Alias XSS Cross Site Scripting adalah sisi klien serangan di mana seorang penyerang menciptakan link jahat,script berisi kode yang kemudian dilaksanakan dalam browser korban. Kode script bisa bahasa apapun yang didukung oleh browser, tetapi sebagian besar HTML dan Javascript yang digunakan bersama dengan embedded Flash, Java atau ActiveX.

Apa yang bisa Cross Site Scripting digunakan untuk?
Cross Site Scripting dapat digunakan untuk berbagai hal, seperti sesi-pembajakan, browser serangan, phishing, propaganda dan bahkan cacing! Namun masih memerlukan korban untuk mengklik link jahat diciptakan oleh penyerang.

Bagaimana bisa Satu mendapatkan korban untuk mengklik link XSS?
Cara termudah untuk membuat orang meng-klik link berbahaya adalah untuk membuat mereka terlihat otentik dan non - jahat. Memberi mereka alasan kemudian adalah rekayasa sosial-bagian yang harus mudah kecuali jika korban sadar serangan tersebut dan / atau memiliki tindakan terhadap Cross Site Scripting, seperti NoScript.

Bagaimana Satu menghindari XSS-links tampak mencurigakan?
Hal ini biasanya dilakukan dengan penyandian, layanan url pendek, mengarahkan dan bahkan flash!

Yang tipe Cross Site Scripting yang ada?
Jenis yang paling umum adalah GET dan POST berbasis XSS. Namun Cross Site Scripting juga bisa
dipicu melalui cookie. Beberapa individu mengklaim bahwa XSS juga dapat dibagi menjadi gigih dan
non-persistent tetapi juga jenis-jenis dan harus disebut sebagai injeksi yang berbeda kelas bug / kerentanan.

Apa perbedaan antara GET-POST-XSS?
Perbedaannya adalah bahwa ketika GET-variabel yang digunakan adalah mungkin untuk melakukan serangan XSS normal mana penyerang mengirimkan crafted URL jahat kepada korban yang kemudian dijalankan ketika
korban membuka link dalam browser.

Dengan variabel POST-penyerang dapat f.ex. menggunakan flash untuk mengirim korban ke POST-XSS
situs rentan karena tidak mungkin untuk membuat URL ketika POST-variabel yang sedang digunakan.

Apakah ada sub-kategori dari Cross Site Scripting?
Pada saat ada XSSR dan XSSQLI. Orang bisa mengatakan bahwa XSRF / CSRF milik yang sama
kategori, namun metode serangan terlalu banyak berbeda dari tradisional Cross Site Scripting. CSSR alias XSSR atau Cross Site Redirection Script digunakan untuk mengarahkan korban kepada halaman lain enggan. Halaman bisa misalnya berisi phishing template, kode serangan browser atau beberapa kasus di mana data atau skema URI javascript digunakan: sesi-pembajakan. XSSQLI adalah campuran Cross Site Scripting dan SQL Injection, di mana korban ketidaktahuan mengklik link berbahaya.
SQL Injection berisi instruksi untuk suatu daerah di website yang membutuhkan hak istimewa yang
tamu atau anggota tidak memiliki. XSRF atau CSRF (kadang-kadang disebut sebagai C-Surf) berdiri untuk
Cross Site Request Pemalsuan yang digunakan untuk mengirim masukan dari pihak ke-3 situs ke situs target.
XSRF dapat dalam beberapa kasus dipicu hanya dengan melihat gambar yang dirancang khusus tetapi yang paling sering digunakan adalah URL. Dengan Cross Site Request Pemalsuan itu mungkin untuk f.ex. mengubah
password korban jika situs target tidak diamankan dengan baik dengan bukti dll

Apa itu XST dan dapat digunakan untuk apa saja?
XST juga dikenal sebagai Cross Site (Script) Tracing adalah suatu cara untuk menyalahgunakan HTTP Trace (Debug) protokol. Apa pun yang seorang penyerang mengirimkan ke web-server yang telah diaktifkan akan mengirim TRACE jawaban yang sama kembali. Jika penyerang mengirimkan berikut:

TRACE / HTTP/1.0
    Host: target.tld
    Custom-header: <script>alert(0)</script>

Maka penyerang akan menerima sama "Custom-header:
Namun setelah update browser terbaru tahun berikutnya (s) XST telah semakin sulit untuk
DNS dan berfungsi dengan benar.

Bagaimana mungkin menemukan bug XSS dalam website?
Ada 2 metode: kode / script audit atau fuzzing yang digambarkan di bawah ini.

Alat macam apa yang diperlukan untuk menemukan bug XSS? (REQ = Required, OPT = Optional)
- REQ: Internet Browser (seperti FireFox) dalam kasus Anda fuzzing.
- REQ:-penampil teks (seperti notepad) dalam kasus Anda audit.
- KPT: Sebuah proxy mencegat dalam kasus yang sedang Anda lakukan lebih maju XSS. (Dalam FireFox adalah mungkin untuk menggunakan Tamper Data).
- KPT: Browser Addons, untuk FireFox berikut ini adalah terutama bermanfaat: pembakar, JSView dan LiveHTTP Header.

Apa lagi yang berguna untuk mengetahui apakah Kita ingin menemukan bug XSS?
- Browser keterbatasan mengenai Cross Site Scripting [1]
- HTTP Headers dan bagaimana protokol HTTP bekerja.
- HTML + Javascript dan mungkin tertanam serangan script. (flash dll)
- Mencegat proxy (Burp dll), alat diferensial (berbaur, ExamDiff, dll)
- Useful browser-addons (lihat FireCat [3])
- Website scanner (Nikto, W3AF, Grendel, Directory-fuzzers dll)

Mana-bug XSS biasanya terletak?
Hal ini biasanya terletak di masukan pengguna yang diajukan baik melalui GET atau POST variabel, dimana hal itu tercermin pada situs target sebagai teks di luar tag, tag di dalam nilai-nilai atau dalam javascript. Dapat juga dalam beberapa kasus disampaikan melalui cookie, http header atau dalam kasus-kasus yang jarang upload.

Bagaimana Satu melindungi sebuah situs terhadap XSS?
Cara terbaik adalah untuk memastikan bahwa semua pengguna input dan output divalidasi dengan benar. Namun dalam beberapa kasus WAF yang IPS atau juga dapat melindungi terhadap XSS meskipun masih cara terbaik untuk memvalidasi input pengguna-dan-output dengan benar.


Continue :

Digg Google Bookmarks reddit Mixx StumbleUpon Technorati Yahoo! Buzz DesignFloat Delicious BlinkList Furl

20 comments: on "XSS Injection Tutorial Part l"

illusion-design mengatakan...

nice post sob...
sekalian kunjungan malam...

Day Spa mengatakan...

salam kenal .
makasih buat infonya .

call Poland mengatakan...

This truly is a very important blog. Thanks for sharing this valuable information with us.

Nama Cantik mengatakan...

salam kenal .
makasih buat informasinya .

Kuliner mengatakan...

salam kenal .
makasih yaa buat infonya .

moving company mengatakan...

This truly is a very important blog. Thanks for sharing this valuable information with us.

Day Spa mengatakan...

salam kenal .
thanks for share .

removals London mengatakan...

This has been a very significant blog indeed. I’ve acquired a lot of helpful information from your article. Thank you for sharing such relevant topic with us. I really love all the great stuff you provide. Thanks again and keep it coming

man and van London mengatakan...

Thanks for sharing these & very well explain post. Some thing new to learn from this helpful post.

Mobil Bekas mengatakan...

waduh mesti di baca berkali kali dulu ih biar ngerti :d

free coupons and samples mengatakan...

Thank you for posting the great content…I was looking for something like this…I found it quiet interesting, hopefully you will keep posting such blogs….Keep sharing!

Obat Herbal Darah Tinggi mengatakan...

infonya baguss keren thanks for iformation

Cara mengobati Maag secara Herbal mengatakan...

info bagusss makasih ya salam kenal

KVM Switches mengatakan...

I have not adequate words in gratitude. Pretty useful and helpful too, Thanks for letting me know about this.

Anonim mengatakan...

sebenarnya materinya menarik, tapi kok bahasanya rancu ya, hasil translate-an kah? :)

Freelance Web Designer mengatakan...

Thanks for sharing. Its good to see fresh content always.

Mobile App Developers mengatakan...

I don’t know how should I give you thanks! I am totally stunned by your article. You saved my time. Thanks a million for sharing this article.

GST Registration in Delhi mengatakan...

A single point I just would like to say is the fact your Blog is so valuable for us.

Posting Komentar

Info Pilihan Identitas Jika Berkomentar: Google/Blogger : Khusus yang punya Account Blogger. Wordpress : Blog degan account wordpress Name/URL : Jika tidak punya account blogger namun punya alamat Blog atau Website. Anonymous : Jika tidak ingin mempublikasikan profile anda.

Jika teman-teman menyukai artikel-nya silahkan copy paste dan tinggalkan pesan disini....