XSS? apa itu?? mungkin di antara kita belum ada tau akan bahaya dari XSS Attack atau bahkan di antara kita masih ada yang belum tau apa itu XSS Attack?!
XSS (Cross-site Scripting) merupakan sejenis serangan yang ditujukan ke pengguna lainnya. (Pasti bingung?! sama aku juga bingung.. hehehehe..) jadi gini, ini cuma contoh aja,, Kita mungkin tau dengan serangan yang bertubi – tubi ke friendster. Aksi deface yang sampe sekarang (sampe saat penulis menulis artikel ini…) masih terus berlanjut. Bahkan di berbagai forum hacking masih penuh postingan dengan permintaan “Gimana caranya hack friendster??”. Sampe – sampe orang bosen jawabnya. kenapa? soalnya pertanyaannya sama semua.hehehe.. kembali ke topik. Comment atau Testimonial pada friendster itu bisa disipin program yang membuat tampilan profile friendster berubah jadi kacau. bahkan ada yang masukin gambar2 ngga senonoh. (tau kan kayak gituan.. hihihihi..).
Mungkin klo cuma deface mah ngga bahayain tapi ada yang bahaya akibat dari jenis ini. kalau misal dengan menggunakan serangan ini attacker me-redirect halaman ke halaman lain semacam login friendster. Trus korban yang ngga tau akhirnya login di halaman paslu itu (fake login). Tau akibatnya?? ya, halaman palsu itu akan mengirim ID dan Password ke si penyerang. Dan ada kemungkinan ada yang menggunakan alamat email trus pake Password yang sama dengan password email. Masuk deh dia ke email korban.. (kelanjutannya terserah si penyerang..).
Serangan jenis ini juga bisa digunakan untuk mencuri cookies. Nah lo apa pula itu “cookies”? yang ga tau cari aja di Google 
. Dengan cookies ini maka penyerang bisa masuk ke dalam account korban yang seolah-olah bahwa si penyerang adalah korban yang sedang membuka accountnya. Trus biasanya nih… untuk penyerang – penyerang yang pintar, setelah mendapatkan password dari hasil serangannya terutama pada email. mereka akan menyimpan password tersebut yang di gunakan untuk proses cracking password. (kali aja ada admin sebuah situs yang pake password yang sama.. 
)
Gitu aja deh kepanjangan ntar…
Untuk pencegahan bagi Web Developer PHP (kenapa PHP soalnya aku blom ngerti bahasa pemograman lain hehehe…) :
Dalam PHP ada fungsi yang namanya “strip_tags()”
nah dari fungsi ini kita bisa menghapus tag-tag yang ada pada input form. contoh :
<?
$input=”<h3>XSS Attack</h3><br>”;
$bersih=strip_tags($input);
echo “Yang belum di bersihin : $input”
echo “Yang sudah di bersihin : $bersih”
?>
Dengan begitu setiap inputan yang masuk tidak akan mengeksekusi Tag-tag program. Tapi itu contoh sederhana untuk pembersihan input. Kalo pake fungsi strip_tags() bakal hancurin semua tag-tag program, gimana kalo misal pengen pake tag <b>,<i>,<u> dan semacamnya. ada cara tersendiri.. untuk itu cari aja sendiri ya..
Klo untuk para pecinta friendster. Pencehaannya dengan cara menonaktifkan auto Approve pada comment. Dan saat melihat profile tiba-tiba suruh Login, maka liat dulu di URL (bagian depannya http://www.friendster.com/..bla..bla.. <– yang ini bener) kalau ya maka aman tapi kalo bukan hati2 mending cari logoff trus masuk lagi. Kalau yang kena deface dari aksi para Cracker Pemula. Benerinnya,,
- masuk ke setting
- trus cari “safe mode”
- pilih yes
- masuk ke comment
- del comment dari attacker
nah klo ga ada comment dari attacker? hmm..
- masuk ke “Customize Profile”
- liat di css box ada code yang mencurigakan ngga..
- kalau ada hapus.
dah ah gitu aja..
bye.. untuk teknik nya lain kali aja (akunya mau belajar dulu… hehehe )
