Session Hijacking via Blind Stored XSS


Session Hijacking via Blind Stored XSS

Kalian pasti udah tau dong apa itu XSS?
XSS adalah XSS merupakan kependekan yang digunakan untuk istilah cross site scripting. XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs.

Disini kita gak akan bahas tentang XSS yang mendasar, namun kita akan bahas tentang:
- Blind XSS
- Stored XSS
- Session Hijacking

Tentunya Blind XSS, Stored XSS, dan Session Hijacking terkadang menjadi satu kesatuan.

Ok kita bahas dari Session Hijacking dulu.

Session Hijacking adalah pembajakan sesi, biasanya attacker melakukan takeover sebuah aplikasi dengan cara menduplikat session yang dimiliki oleh Administrator. Sebagai contoh mencuri cookie menggunakan javascript yang sudah dirancang sedemikian rupa kemudian ditanam ke dalam aplikasi tersebut.

Bagaimana cara menanam Javascript jahat tersebut?

Yap! Dalam aplikasi web (web application) biasanya Attacker memanfaatkan celah XSS.

Blind XSS - adalah sebuah celah XSS namun tidak dapat dilihat secara langsung, secara kasar Blind XSS dikirim ke dalam server (backend) dan menunggu interaksi dari target. Biasanya Blind XSS itu lebih condong ke Stored XSS.


Baca Juga : Apakah Injection Ads melanggar UU ITE?

Apa itu Stored XSS?
Stored XSS - kalau kita bahas secara singkat, yaitu XSS yang tersimpan. Entah tersimpan dalam database, file, ataupun cache.

Ok! supaya lebih mudah kalian dapat lihat skemanya pada gambar di bawah:

Ok sedikit tambahan:
Disini kita memiliki sample JavaScript yang digunakan:

https://github .com/zerobyte-id/TeleXA

Bilamana Blind XSS ter-trigger maka akan langsung mengirim alert ke akun telegram kalian. berbahayanya adalah akun kalian bisa jadi korban dari Session Hijacking via Blind Stored XSS ini, jika jatuh ke tangan yang bertanggung jawab bisa disalahgunakan. Maka dari tiu berhati-hatilah usahakan selalu logout dan menghapus chache atau cookies browser anda.

Demikian sedikit tulisan mengenai Session Hijacking via Blind Stored XSS

Jika artikel ini bermanfaat silahkan di share !!!

Jika ada kritik dan saran silahkan tulis di kolom komentar !!!

0 Response to "Session Hijacking via Blind Stored XSS"

Posting Komentar