__ __ /\ \ ___ ___ ___ __ __ __ ___ _ __ /\_\ \_\ \ / __`\ /' __` __`\ /'__`\ /'_ `\ /'__`\ / __`\/\`'__\ \/\ \ /'_` \ /\ \L\ \/\ \/\ \/\ \/\ __//\ \L\ \/\ \L\.\_ __/\ \L\ \ \ \/ __\ \ \/\ \L\ \ \ \____/\ \_\ \_\ \_\ \____\ \____ \ \__/.\_\/\_\ \____/\ \_\/\_\\ \_\ \___,_\ \/___/ \/_/\/_/\/_/\/____/\/___L\ \/__/\/_/\/_/\/___/ \/_/\/_/ \/_/\/__,_ / /\____/ \_/__/ OMEGA|ZINE RELEASE 01 Author: omicron9194 || omicron9194[at]omega.or.id Online @ www.omega.or.id :: http://ezine.omega.or.id == xss p4tch == XSS adalah suatu cara memasukkan code / script HTML ke dalam suatu web site atau dikenal dengan HTML Injection. Banyak web programmer yang tidak terlalu memperhatikan bahaya XSS, atau mungkin terlalu banyak kesalahan penulisan scripting pada halaman web sehingga mengizinkan beberapa karakter tertentu dijalankan pada situs tersebut. Anatomy ----------------------------cut here---------------------------- xss
masukkan keyword yg mau di cari :
----------------------------end here---------------------------- script di atas digunakan untuk pencarian kata dalam suatu artikel atau dokumen. kita coba memasukkan kata "

omicron cakep

" :p. Maka akan terlihat bahwa keyword yg kita masukkan tadi ditampilkan. Oopss..coba perhatikan lagi tulisannya,ternyata keyword yg kita masukkan tadi telah di tampilkan tidak apa adanya. Secara logika,seharusnya keyword yang kita masukkan tadi akan tampil apa adanya, tetapi mengapa keyword tadi tidak tampil sesuai input yang kita masukkan? Keyword yg kita masukkan tadi mengandung html code dan form search otomatis akan menerjemahkan html code tersebut sesuai fungsi dari tag html yang kita masukkan. Dengan demikian keyword yang mengandung html code akan diterjemahkan sebagai bagian dari html.Bahkan jika seorang programmer menggunakan metode get untuk menampilkan halamannya,maka cukup memodifikasi URLnya saja seseorang bisa membuat halaman palsu. #p4tch Cara termudah untuk memfilternya adalah dengan melakukan escape html code agar tidak diterjemahkan sebagai bagian dari html dan hanya ditampilkan apa adanya. Dalam PHP kita bisa menggunakan htmlspecialchars(), atau bisa juga dengan htmlentities() untuk melakukan escape terhadap tag-tag html di atas. re-Anatomy ----------------------------cut here---------------------------- xss
masukkan keyword yg mau di cari :
----------------------------end here---------------------------- Terlihat bahwa kode di atas sudah di filter dengan menambahkan htmlspecialchars() sehingga setiap karakter yang berisi tag html akan di tampilkan begitu saja (sebagai teks biasa).Kemudian kita lihat lagi halaman tersebut dan memasukkan "

omicron cakep

".Maka keyword tersebut akan ditampilkan apa adanya. Beberapa fungsi yang bisa digunakan untuk memfilter html code : >> htmlentities() Digunakan untuk mengkonversi karakter-karakter tertentu dalam tag HTML. Hasil fungsi ini akan menerjemahkan tag-tag HTML sebagai teks biasa. >> strip_tags() Digunakan untuk menghilangkan tag-tag HTML dan PHP dalam sebuah string. Serangan XSS ini memanfaatkan kecerobohan programmer dalam validasi input. Semoga pembahasan mengenai XSS Patch ini dapat menambah pengetahuan kita mengenai security web khususnya bagi penulis yang sedang belajar dan bagi kita semua umumnya.Tulisan ini ditujukan untuk pembelajaran semata sehingga sangat diharapkan kritik dan sarannya. Apabila banyak kekurangan pada tulisan ini harap dimaklumi. REFERENSI *Buku Web Programming Google *greetz to: [omegastaff a.k.a hemstar7, n4may94n3h, indi60] && [MY LOVELY]* omega memberz , temen2 seperjuangan kritik && saran kirimkan ke omicron9194[at]omega.or.id */0x6f/0x6d/0x69/0x63/0x72/0x6f/0x6e/0x09/0x01/0x09/0x04/* (c)2009