Kembali lagi ke daffa.info. Di hari yang sama, saya membagi ilmu tentang Tipe-tipe penyerangan XSS. Dan kali ini saya akan memberikan XSS pada metode GET maupun POST. Sebelum lebih jauh mari mengenal XSS terlebih dahulu yuk.

XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara menyisipkan kode HTML atau script ke suatu situs. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Salah satu payload xss yang sering digunakan yaitu

<script>alert(1)</script>

Serangan XSS bisa terjadi dengan metode apa saja yaitu POST maupun GET. Mari kita lihat perbedaan XSS pada POST maupun GET

  • GET

Sedangkan untuk Metode GET. Bisa dibayangkan ada website yang memiliki fitur search dan anda mencari sesuatu, setelah mencari hal yang dinginkan biasanya link url akan menjadi seperti ini (terdapat bermacam-macam parameter, ini hanya contoh)

https://example.com/search.php?search=barangku

Cara mengeceknya bisa dengan memakai tag-tag html, contohnya seperti

https://example.com/search.php?search=<h2>barangku</h2>

Jika tag-tag HTML itu bekerja berarti terdapat Bug HTML Injection (Nanti akan saya bahas di post yang akan datang) Namun belum tentu Vuln XSS. Mari kita coba payload yang ada diatas tadi yaitu <script>alert(1)</script>

https://example.com/search.php?search=<script>alert(1)</script>

Kemudian akan muncul alert 1, maka XSS Attack berhasil

  • POST

POST akan terjadi contohnya ada sebuah website terdapat fitur edit nama pada user dashboard kemudian kita buat script html sederhana seperti contoh dibawah ini

<form action=http://example.com/page.php method=POST>
<input type=hidden name="john" value="<script>alert(1)</script>" />
<input type="submit" value="Submit request" /> 
</form>

Contoh diatas adalah script html post xss. Saat kita memencet tombol submit, kemudian akan muncul alert xss dengan tulisan 1.

Image result for xss 1"
Contoh Alert dengan Tulisan 1

Jika ingin melihat salah satu contoh POST XSS yang mendapatkan bounty Hackerone Report ini salah satunya. Atau G

Sekian tutorial dari saya, salam sukses