• Tidak ada hasil yang ditemukan

ANALISA

BAB IV IMPLEMENTASI

5.3 ANALISA

Ini adalah tahap analisa proses pencarian kelemahan file-file yang ada di dalam url website tersebut baik secara online maupun offline

5.3.1 Analisa Scan XSS

Dari hasil ujicoba Scan XSS pada bab sebelumnya dapat diambil kesimpulan sebagai berikut :

74

A. proses scan xss terhadap URL http://localhost/webstester/ didapatkan 7 buah link :

 http://localhost/webstester/index.php?id=

 http://localhost/webstester/daftar.php

 http://localhost/webstester/ vuln.php?status=

masing-masing link diatas yang memiliki parameter di injeksikan dengan salah satu script clientside yang diambil dari datatext :

"><H1><c e nte r><b link><b r><fo nt+c o lo r=g re e n+size =50>JO _SPYRO <b r>< / b link></ H1><NO SC RIPT>

sehingga menjadi seperti berikut :

1. http://localhost/webstester/index.php?id="><H1><center><blink> <br><font+color=green+size=50>JO_SPYRO<br></blink></H1> <NOSCRIPT>1 2. http://localhost/webstester/daftar.php 3. http://localhost/webstester/vuln.php?status="><H1><center><blin k><br><font+color=green+size=50>JO_SPYRO<br></blink></H 1><NOSCRIPT>ginjal

Dan hasilnya ke tiga link tersebut vulnerable to XSS atau memiliki celah kelemahan terhadap serangan XSS. Karena script yang telah di injeksikan tersebut dieksekusi oleh server. Berikut page source dari url yang telah di injeksi :

Yo u ha ve a n e rro r in yo ur SQ L synta x; c he c k the

ma nua l tha t c o rre sp o nd s to yo ur MySQ L se rve r ve rsio n fo r the rig ht synta x to use ne a r '\">

Dan berikut tampilan dari URL yang telah di injeksi :

vulnerability

BAB VI PENUTUP 6.1 Kesimpulan

a. Scan XSS Online

Dari hasil ujicoba Scan XSS pada Situs http://www.xxx.com didapatkan 3 URL. yaitu :

1. http:// www.xxx.com/index.php?id= 2. http:// www.xxx.com /home.php= 3. http://www.xxx.com/info.php?status=

Masing-masing link diatas yang memiliki parameter di injeksikan dengan satu

script clientside yang diambil dari datatext :

"><H1><c e nte r><b link><b r><fo nt+c o lo r=g re e n+size =50>JO _SPYRO <b r>< / b link></ H1><NO SC RIPT>

Sehingga menjadi seperti berikut :

1. http:// www.xxx.com/index.php?id="><H1><center><blink><br><font+ color=green+size=50>JO_SPYRO<br></blink></H1><NOSCRIPT> 2. http:// www.xxx.com /home.php="><H1><center><blink><br><font+ color=green+size=50>JO_SPYRO<br></blink></H1><NOSCRIPT> 3. http://www.xxx.com/info.php?status="><H1><center><blink><br><font+ color=green+size=50>JO_SPYRO<br></blink></H1><NOSCRIPT>

Dan hasilnya 3 script yang di injeksikan tersebut dieksekusi, sehingga ditemukan kelemahan XSS. Yaitu terjadi perubahan terhadap tampilan awal

website yang mulanya tidak terdapat kata “jo_spyro” kini terdapat kata

“jo_spyro”, maka tingkat keberhasilan dari hasil scan XSS terhadap situs http://www.xxx.com adalah 100%.

b. Scan XSS Offline

Dari hasil ujicoba Scan XSS pada web tentang Sistem Pakar Pada Penyakit Ginjal milik salah satu teman yang berada pada komputer lokal didapatkan 3 URL, yaitu :

1. http://localhost/webstester/index.php?id= 2. http://localhost/webstester/daftar.php= 3. http://localhost/webstester/ vuln.php?status=

Masing-masing link diatas yang memiliki parameter di injeksikan dengan satu

script clientside yang diambil dari datatext :

"><H1><c e nte r><b link><b r><fo nt+c o lo r=g re e n+size =50>JO _SPYRO <b r>< / b link></ H1><NO SC RIPT>

Sehingga menjadi seperti berikut :

1. http://localhost/webstester/index.php?id="><H1><center><blink><br><f ont+color=green+size=50>JO_SPYRO<br></blink></H1><NOSCRIPT> 2. http://localhost/webstester/daftar.php="><H1><center><blink><br><font +color=green+size=50>JO_SPYRO<br></blink></H1><NOSCRIPT> 3. http://localhost/webstester/vuln.php?status="><H1><center><blink><br> <font+color=green+size=50>JO_SPYRO<br></blink></H1><NOSCRIP T>

Dan hasilnya 3 script yang di injeksikan tersebut dieksekusi, sehingga ditemukan kelemahan XSS. Yaitu terjadi perubahan terhadap tampilan awal

website yang mulanya tidak terdapat kata “jo_spyro” kini terdapat kata

“jo_spyro”, maka tingkat keberhasilan dari hasil scan XSS terhadap situs http://www.xxx.com adalah 100%.

78

6.2 Saran

DAFTAR PUSTAKA

“Seperempat Aplikasi Web Rentan Keamanan”, http://www.kapanlagi.com/h/0000265632.html (09 Desember 2008)

“Web Application Security Attack Statistics”,

http://www.webappsec.org/projects/statistics (20 September 2008)

Akhmad Daniel S, “Sekilas Java”, 1998

“Java”, http://id.wikipedia.org/wiki/Java (21 Januari 2009)

“Having Fun With Cross Site Scripting (XSS) + POC Pencurian Password”, http://www.spyrozone.net (01 Januari 2009)

S’to, “Seni Internet Hacking Uncensored”, November 2007

“Pengertian dan definisi vulnerability”, http://ahmad-

prayitno.com/index.php/pengertian-dan-definisi/pengertian-vulnerability (3 Mei 2010)

“Situs Web”, http://id.wikipedia.org/wiki/Situs_web (30 Juni 2010 )

“Perancangan Web”, http://id.wikipedia.org/wiki/Perancangan_web ( 1 Juli 2010)

“Mitigating Cross-site Scripting With HTTP-only Cookies.”

http://msdn.microsoft.com/workshop/author/dhtml/httponly_cookies.asp.

Ollman & Gunter. “HTML Code Injection and Cross-site scripting, Understanding the cause and effect of CSS (XSS) Vulnerabilities. ISS Advisor.”, Agustus 2003

Unduh sekarang "PEMBUATAN APLIKASI WEB..."

Garis besar

Dokumen terkait