Attention.........!!!!!!!!

Bagi Anggota Blog yang ingin Sign in..
Harap mengunjungi www.blogger.com..

Bagi Pengunjung Blog yang ingin melihat jawaban Pertanyaan..
Harap melihat komentar dari judul Postingan yang anda tanyakan..
Atau klik link nama anggota tim kami yang anda tanyakan..

Bagi yang ingin membaca lengkap postingan Kami..
Silakan klik saja judul postingan yang anda inginkan..

Terima Kasih...

Killims - Forever (SONG)

Get More Songs & Codes at www.stafaband.info

Selasa, 05 Januari 2010

XSRF (Cross Site Request Forgery)

XSRF (Cross Site Request Forgery) merupakan salah satu teknik serangan terhadap aplikasi web. Adapun korban dari serangan ini adalah user yang sedang login ke suatu web server. User sebagai client membuka sesi komunikasi dengan server.


Serangan XSRF dikategorikan sebagai serangan injection code, dimana serangan berupa kode yang diinputkan pada halaman web di browser client lalu dieksekusi oleh aplikasi web. Fokus dari serangan XSRF adalah bagaimana kode dapat dinputkan pada komputer korban oleh penyerang yang berada pada komputer yang berbeda. Caranya adalah menyamarkan atau menyembunyikan kode tersebut dibalik suatu objek, seperti gambar atau sekumpulan teks. Kemudian objek tersebut diberikan kepada korban. Selanjutnya penyerang meminta korban untuk melakukan suatu intruksi terhadap objek yang telah diberikan, biasanya menggunakan metode Social Engineering. Apabila instruksi dilaksanakan maka kode ikut tereksekusi tanpa diketahui oleh korban. Ilustrasinya adalah sebagai berikut :


Ilustrasi Serangan XSRF.JPG

Keterangan pada gambar:

1. User login pada web server, misalnya pada webmail.

2. Server membuka sesi komunikasi dengan user atau client.

3. Penyerang telah menyediakan link agar dapat diakses oleh user. Misalnya dikirim ke email user atau diposting di suatu website. Penyerang meminta user untuk melakukan suatu intruksi dan user melakukannya.

4. Pada instruksi yang disediakan, penyerang menyimpan perintah yang tidak diketahui oleh user. Misalnya perintah berupa kode "https://mail.google.com/mail?logout&h" yang disembunyikan pada link berupa image atau objek gambar.

5. Ketika user menjalankan instruksi maka kode tersebut ikut juga tereksekusi. Kode akan diterjemahkan oleh web server sebagai permintaan dari client. Misalnya kode "https://mail.google.com/mail?logout&h" akan menyebabkan user sign_out atau keluar dari aplikasi webmail google. Berdasarkam metode serangannya, XSRF dibagi menjadi dua:


1. Reflected XSRF

Penyerang mengirim objek yang berisi kode langsung ke dalam sistem yang menjadi sasaran serangan. Tujuannya adalah ketika calon korban mengakses sistem miliknya tersebut, korban melihat objek tersebut dan mengeksekusinya. Misalnya kode “https://mail.google.com/mail?logout&h” dikirimkan kealamat email calon korban yang berdomain sama (“@google.com”).


2. Stored XSRF

Penyerang menggunakan sistem yang berada diluar sistem yang menjadi sasaran serangan. Penyerang menyediakan link untuk kode tersebut dengan harapan calon korban mengunjungi link tersebut dan mengeksekusinya. mengirim objek yang berisi kode langsung ke dalam sistem yang menjadi sasaran serangan. Misalnya kode “https://mail.google.com/mail?logout&h” diposting pada suatu aplikasi website dan website ini dapat diakses oleh banyak user yang dapat menjadi korban. Atau penyerang dapat menggiring calon korban tertentu dengan mengirim alamat website tersebut kealamat email calon korban yang berdomain di “@google.com”.

1 komentar:

acep mengatakan...

thank atas informasinya ,,

Posting Komentar

TATA TULIS KARYA ILMIAH © 2008 Template by:
SkinCorner