Trending Now

Catatan Kertas

Mengabadikan pengetahuan dan pengalaman melalui tulisan

Search
Menu
Format Email Kirim Laporan Bug Hunter ke CSIRT, Lengkap Dengan Contoh
Bahaya Klik Link Sembarangan, Malware Bisa Menyusup Lewat Gambar dan Ambil Data Kalian Semua
Pengaruh Sifat Diam dan Tak Banyak Omong Terhadap Orang Lain
Pengalaman Saya Soal xmlrpc – Tools Bruteforce Login WordPress yang Masih Ganas
Belajar Ethical Hacking – Cara Menemukan XSS dan Contohnya untuk Pemula
Pengalaman Saya Belajar Ethical Hacking & Cybersecurity dari Nol Sampai Dapat 24 Sertifikat
Pengalaman Saya Pas PIN BNI Ke Blokir dan Cara Mudah Membukanya
Jangan Asal Pilih! Ini Rahasia Bahan Cat dan Clear Coat Biar Mobil Kinclong Maksimal
Eksperimen Cat Full Body Mobil Cuma Modal 600 Ribu? Begini Hasilnya Pakai Kompresor Lakoni!

Belajar Ethical Hacking – Cara Menemukan XSS dan Contohnya untuk Pemula

Tips Tutorial
admin

Belajar Ethical Hacking – Cara Menemukan XSS dan Contohnya untuk Pemula

Halo sobat, balik lagi nih. Kali ini saya mau ngajarin cara menemukan XSS dan contohnyabuat kalian yang lagi belajar ethical hacking.

XSS itu singkatan dari Cross Site Scripting. Ini salah satu celah keamanan yang paling sering ditemuin di website. Parahnya, celah ini bisa dipake hacker buat nyuri data, mengambil alih akun, sampe ngelakuin hal-hal berbahaya lainnya.

Tapi tenang, kita belajar buat jadi ethical hackerya sobat. Bukan buat nyusahin orang. Kita belajar biar bisa bantu orang lain ngelindungin websitenya.

Yuk langsung aja.

Apa Itu XSS? Saya Jelasin Pake Bahasa Sederhana

Jadi gini sobat. Bayangin lo punya buku tamu di website. Terus ada orang iseng nulis di buku tamu bukan pake kata-kata biasa, tapi pake kode JavaScript.

Nah pas lo buka halaman buku tamu itu, kode JavaScript-nya ikut jalan. Tiba-tiba muncul pop-up, atau bisa lebih parah lagi kalo kodenya jahat.

Itu XSS namanya.

Sederhananya, XSS adalah celah dimana hacker bisa nyuntikkan kode jahat ke website dan kode itu bakal jalan di browser orang lain yang buka halaman tersebut.

Jenis-Jenis XSS Yang Perlu Kalian Tahu

Sebelum kita bahas cara nemuinnya, saya kasih tahu dulu jenis-jenis XSS sobat. Ada 3 jenis utama:

Pertama, Reflected XSS. Ini yang paling umum. Kode jahatnya dikirim lewat link. Begitu korban klik link-nya, kodenya langsung jalan.

Kedua, Stored XSS. Ini lebih bahaya. Kode jahatnya disimpan di server. Jadi setiap orang yang buka halaman itu bakal kena.

Ketiga, DOM-based XSS. Ini agak beda. Kodenya jalan di browser tanpa ngirim request ke server.

Buat pemula, fokus belajar Reflected XSS dulu ya sobat. Soalnya paling gampang ditemuin.

Cara Menemukan XSS Untuk Pemula

Sekarang saya kasih tau cara menemukan XSSsecara sederhana. Alatnya cuma butuh browser doang, gak usah pake alat ribet.

Langkah 1: Cari website yang punya fitur pencarian, form komentar, atau parameter di URL kayak ?q= atau ?id=

Langkah 2: Masukin kode uji coba sederhana kayak gini di kolom pencarian atau di URL:

html

<script>alert('XSS')</script>

Langkah 3: Klik enter atau submit. Kalau tiba-tiba muncul pop-up tulisan “XSS”, artinya website itu punya celah XSS.

Langkah 4: Coba juga pake kode lain biar lebih yakin, misalnya:

html

<img src=x onerror=alert('XSS')>

Atau kalo di URL, bisa pake:

text

https://website.com/search?q=<script>alert('XSS')</script>

Kalau muncul pop-up, selamat! Lo baru aja nemuin celah XSS.

Contoh Sederhana XSS Yang Bisa Lo Coba

Nah ini contoh XSS yang paling gampang sobat. Saya kasih ilustrasinya.

Skenario 1 – Reflected XSS di kolom pencarian:

Lo buka website https://contoh.com/cari?q=produk

Terus lo ganti kata “produk” jadi <script>alert('XSS')</script>

Jadi URL-nya jadi:

text

https://contoh.com/cari?q=<script>alert('XSS')</script>

Pas lo enter, kalau websitenya rawan, bakal muncul pop-up.

Skenario 2 – Stored XSS di kolom komentar:

Lo buka artikel di website yang punya fitur komentar.

Lo isi kolom komentar dengan:

html

<script>alert('XSS')</script>

Terus lo posting.

Setiap kali orang buka halaman itu dan lihat komentar lo, mereka bakal dapet pop-up. Bahaya kan?

Kenapa XSS Bisa Terjadi?

Sederhana sobat. Karena website-nya gak bisa bedain mana data dan mana kode. Jadi ketika kita masukin <script>, website mikir itu bagian dari konten. Padahal itu adalah kode yang harusnya dijalanin di browser.

Website yang aman biasanya akan memfilteratau encode karakter-karakter berbahaya kayak <>"', dan &.

Tapi website yang rawan, mereka gak ngelakuin itu.

Tools Yang Bisa Lo Pake Buat Nyari XSS

Kalau udah mulai terbiasa, lo bisa pake beberapa tools buat nemuin XSS lebih cepat sobat. Ini rekomendasi dari saya:

1. Browser bawaan. Cukup pake inspect element dan console. Gratis dan gak perlu install apa-apa.

2. Burp Suite. Tools populer buat testing keamanan web. Ada versi gratisnya.

3. OWASP ZAP. Mirip Burp Suite, open source dan gratis.

4. Dalfox. Tools khusus buat nyari XSS. Cepet dan gampang dipake.

5. XSStrike. Juga tools khusus XSS, lumayan terkenal di kalangan bug hunter.

Tapi ingat sobat, pake tools cuma buat website yang lo punya izin. Jangan asal tempel ke website orang.

Hal Yang Harus Lo Perhatiin Sebelum Nyari XSS

Ini penting banget sobat. Saya kasih tau dari sekarang.

Pertama, cari izin dulu. Jangan pernah nyari celah keamanan di website orang tanpa izin. Itu ilegal.

Kedua, gunakan website latihan. Ada banyak kok website yang sengaja dibuat buat latihan XSS. Contohnya xss-game.appspot.com atau portswigger.net/web-security/cross-site-scripting.

Ketiga, catat semua yang lo temuin. Biar lo belajar dari pengalaman.

Keempat, jangan sombong. Nemuin XSS itu biasa. Yang luar biasa adalah bisa bantu pemilik website buat nambal celah tersebut.

Contoh Kasus XSS Di Dunia Nyata

Sobat, XSS ini bukan cuma teori doang. Banyak kejadian nyata di dunia.

Contoh 1: Dulu pernah ada hacker yang nemuin XSS di website media sosial besar. Mereka bisa nyuri cookie login orang lain. Akibatnya, banyak akun yang dibajak.

Contoh 2: Ada juga yang nemuin XSS di website e-commerce. Mereka bisa ganti harga barang jadi 0 rupiah. Untungnya mereka ethical hackerdan lapor ke perusahaan, bukan dipake belanja.

Contoh 3: Beberapa tahun lalu, XSS juga ditemuin di website pemerintah. Hacker bisa mengakses data internal. Setelah dilapor, pemerintah langsung nambal celahnya.

Nah dari situ kita belajar. XSS itu serius sobat. Bukan mainan.

Cara Mencegah XSS Buat Lo Yang Punya Website

Kebalikannya, kalau lo punya website, lo juga harus tau gimana cara mencegah XSS. Ini beberapa tips dari saya:

Gunakan htmlspecialchars() di PHP. Fungsi ini bakal ngubah karakter berbahaya jadi aman.

Filter input dari user. Jangan pernah percaya sama apapun yang diketik user.

Gunakan Content Security Policy (CSP). Ini kayak aturan yang ngasih tahu browser kode mana yang boleh dijalanin.

Update software website lo. Jangan males update, soalnya update sering bawa perbaikan keamanan.

Lakukan testing keamanan secara rutin. Bisa sendiri atau panggil ahlinya.

Kesimpulan Dari Pengalaman Saya Belajar XSS

Jadi gini sobat, cara menemukan XSS itu sebenarnya gak sesulit yang lo bayangin. Cukup pake browser, masukin kode uji coba, dan liat reaksinya.

Tapi ingat, jangan pake ilmu ini buat hal yang jahat. Kita belajar ethical hacking biar bisa bantu orang lain, bukan buat nyusahin.

Dari yang awalnya gak tahu apa-apa soal XSS, sekarang lo udah tau:

  • Apa itu XSS
  • Jenis-jenis XSS
  • Cara menemukan XSS dengan sederhana
  • Contoh XSS di kolom pencarian dan komentar
  • Tools buat nyari XSS
  • Cara mencegah XSS

Kuncinya cuma satu: terus latihan. Semakin sering lo latihan, semakin paham lo sama pola-pola XSS.

Penutup

Nah, itu dia panduan singkat tentang cara menemukan XSS dan contohnya buat kalian yang lagi belajar ethical hacking.

Semoga artikel ini bermanfaat buat lo yang baru mulai. Jangan berhenti belajar, sobat. Dunia cybersecurity itu luas banget. XSS cuma salah satu dari ribuan celah keamanan yang ada.

Kalau ada yang mau ditanyain soal XSS atau butuh saran belajar, tulis aja di kolom komentar ya. Saya bakal bantu sebisa saya.

Terima kasih udah baca. Sehat selalu, tetap jadi ethical hacker yang baik, dan sampai jumpa di artikel berikutnya.

Baca juga: Pengalaman Saya Belajar Ethical Hacking & Cybersecurity dari Nol Sampai Dapat 24 Sertifikat

One thought on “Belajar Ethical Hacking – Cara Menemukan XSS dan Contohnya untuk Pemula

  1. Ping-balik: Pengalaman Saya Soal xmlrpc: Tools Bruteforce WordPress yang Ganas

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Back To Top