Wah judulnya menyeramkan sekali ya…Terlalu berebihan.

Sebenarnya apa yang saya tulis ini bukan untuk melakukan hacking terhadap suatu situs. Karena saya bukan seorang Hacker, Cracker, ataupun apalah itu namanya, pokok’a saya tidak suka dengan yang namanya merusak punya orang lain. Saya hanya seorang Blogger yang senang menulis dan membaca Tulisan teman – teman blogger lainnya, mendapatkan Info dan Ilmu baru dari setiap Blog/ Website yang saya baca.

Saya hanya ingin mengingatkan kepada teman-teman bagaimana bahayanya XSS.
karena bisa berakibat FATAL pada situs atau Blog kita. Sok banget Gue, kayak blog gue udah Aman aja, hehehe.

Oke kita lanjutkan…

Apa itu XSS ?

Yah sebenarnya sudah terlambat sekali saya kalau mau menjelaskan tentang XSS, karena tehnik ini sudah Lama sekali ada, dan mungkin sudah Ribuan Situs yang telah menulis artikel tentang XSS. Sudah ribuah Hacker yang hebat-hebat diluar sana yang menjelaskan tentang XSS.
Tapi biarlah saya jelaskan sedikit tentang XSS ini.

XSS yaitu singkatan dari Cross Site Scripting, Lho kok XSS bukan CSS ?? ya sebenarnya sama saja, tapi CSS lebih dikenal dengan Cascading Style Sheet, biasa untuk pengaturan tampilan situs.

XSS adalah salah satu jenis serangan terhadap web dengan memanfaatkan kelemahan pada suatu aplikasi sehingga memungkinkan seseorang untuk menginjeksikan Tag HTML, Javascript, ataupun Client Side Script pada web yang bersangkutan, karena adanya kesalahan variable, ya hampir seperti SQL injection lah, XSS ini sering diremehkan oleh user, dan dianggap bukan suatu hal yang berbahaya.

Praktekin aja lah langsung.

Yasudah mending kita langsung praktek aja.

=))> Buka www.google.com.

=))> Ketik miyabi lalu enter.

Lho kok miyabi, itu kan Bintang Porno ?? Jangan salah sangka dulu, saya hanya iseng-iseng nyarinya, karena Tadi Malam temen saya sewaktu SMU datang kerumah dan Ngoceh tentang Miyabi terus. Huh baru tau miyabi sekarang, itu kan udah jadul benget,

iya gak sih ??
ya iya lah… masa ya iya donk… Tyas aja mirasih, masa miradonk.

Hehehe..trus kenapa kok sampe nyari tentang miyabi ? ya…kata teman saya itu, Miyabi telah meninggal saat sedang Shoting Film Porno. Ya saya jadi penasaran.
Ya segitu aja cerita miyabinya, kita lanjut lagi tentang XSS.

=))> Setelah Google menampilkan Hasil, saya menemukan Link situs yang menarik.
Yaitu : www.webbiru.com/?s=free+download+video+bokep+miyabi

Lalu saya buka, dan ternya hasil yang saya dapat Ya cuma Tulisan.
Menyebalkan Sekali bukan ? Coba anda buka sendiri.

=))> Kalau diperhatikan dengan seksama ternyata tulisan yang ditampilkan tersebut sama dengan yang ada di URL, nah dengan itu saya iseng-iseng merubah tilisan yang ada di URL, yang tadinya :

www.webbiru.com/?s=free+download+video+bokep+miyabi

saya ganti dengan
www.webbiru.com/?s=IzulCyberCafe
Tulisan yang saya rubah yaitu sesudah sama dengan.
/?S=

Hemf…ternyata tulisan tersebut di Proses, dan ditampilkan lah IzulCyberCafe.

Ya kalau sudah begini saya berkesimpilan kalau situs tersebut terdapat kelemahan XSS.

Maka saya coba script lainnya, yaitu untuk melihat Cookie… Hemmm…

<script>alert(document.cookie)</script>

maka script yang saya suntik-kan diproses dan ditampilkanlah sebuah message sebagai berikut.

Saya coba masukan lagi script berikut ini.

<h1>Hacked by Izul Cyber Cafe</h1><h7>

ingat setelah s=
jadi
www.webbiru.com/?s=<h1>Hacked by Izul Cyber Cafe</h1><h7>

Maka ditampilkan lah sebagai berikut :

Perlu di diketahui Situs yang saya contohkan ini ialah situs penyedia WebHosting dan Iklan, Hemf..yang pasti punya Member yang telah Registrasi ke situs ini.

Aksi Lebih Lanjut.

Nah bagai mana kalau selanjutnya kita exploitasi dengan memberikan Halaman Login Palsu kepada membernya website tersebut? yaitu dengan memberikan <IFRAME> yang mengembed halaman Login Palsu yang kita buat, yang diletakkan di tempat hosting kita sendiri, jadi kalau user mencoba login dengan Username&Password di Halaman palsu tersebut maka akan tersimpan di Database kita?? Wah bisa tambah seru, Account user bisa dicuri, Halaman situs para member bisa diDeface.

Aksi ini bisa saja dilakukan “Bad Guys” yang tidak bertanggung, dengan mengirimkan Email Palsu/Fake Mail atas nama Admin web yang bersangkutan ke pada para members, yang menginstruksikan members untuk segera melakukan registrasi ulang kalau tidak website akan terhapus, dan di dalam email tersebut “Bad Guys” memberikan Link yang menuju halaman website yang telah di manipulasi dengan mengembed halaman Login Palsu.

Wah bisa Bahaya Bukan ?

Ya tapi sebaiknya jangan dilakukan, Bisa sangat ber-Bahaya, apa lagi tadi malam saya membaca berita di MetroTV kalau Pelaku aksi Hacking terhadap situs KPU tahun 2004 dan Situs Golkar tahun 2006 berhasil ditangkat oleh bapak-bapak kita dari kepolisian. Huh lama ya butuh waktu 4 tahun.

Saya sih tidak mau ah ikut-ikutan. Jadi ya cukup sekian saja lah artikel ini. SAYA TAKUT melanjutkannya, yang Jago-jago aja ditangkapi, apa lagi saya yang cuma NewBie, Bisa ancur masa depan.
Lagi pula saya tidak mau mencari musuh dengan siapa pun.

Sekali lagi saya tekankan tulisan ini hanya sebagai contoh untuk dijadikan pelajaran tentang keamanan Web.

Referensi :

+))——> http://ezine.echo.or.id/ezine8/ez-r08-mrt-eksploitasi_web_dg_XSS.txt
+))——> http://ezine.echo.or.id/ezine4/ez-r04-the_day-XSS(example).txt
+))——> http://www.owasp.org/index.php/Testing_for_Cross_site_scripting
+))——> http://ha.ckers.org/xss.html
+))——> Google : http://www.google.co.id/search?hl=id&q=xss&meta=