Cross Site Scripting atau lebih dikenali sebagai XSS (atau CSS tetapi lebih biasa XSS kerana dikuatiri keliru dengan Cascading Style Sheet) ialah satu teknik yang kebiasaan bagi pengujian laman web. Ia adalah salah satu daripada sepuluh dari carta bagi lubang-lubang kelemahan sekuriti laman web yang kritikal mengikut laporan The Open Web Application Security Project (OWASP) 2010.

Contoh XSS:
Siatuasinya ialah seperti berikut: Satu tetingkap windows alert akan terpapar apabila value berikut dimasukkan kepada sesuatu parameter sama ada parameter tersebut di url, di dalam ‘form’ mahupun di dalam link imej atau ‘anchor’:

<script>alert(“Hai”);</script>

Impak
Beberapa impak dikenalpasti dan tidak terhad kepada:
1. Kecurian akaun atau servis
2. Pengesanan Pengguna untuk Statistik
3. Eksploitasi web browser dan pengguna
4. Credential yang tidak sah
5. Boleh digunakan untuk combo dengan eksploitasi yang lain

Sebab berlakunya XSS:
Tiada validation bagi input yang diberikan dalam laman web yang menggunakan input.

Cara nak secure
Validate setiap input yang dihantar untuk diproses dan ‘escape’ karektor sebagai data yang juga dikenali sebagai output encoding.

Post Yang Berkaitan