Javascript injection adalah suatu teknik yang dapat digunakan untuk
mengganti isi suatu situs tanpa meninggalkan situs tersebut. Teknik ini
memerlukan pengguna komputer untuk memasukkan kode Javascript pada URL suatu
suatu situs (jarang sekali suatu situs membiarkan kita untuk melakukan
javascript injection pada comment box, informasi, dll kecuali guestbook).
2 perintah yang biasa digunakan untuk Javascript injection adalah alert()
dan void(). Contoh, untuk membuat pop-up window, masukkan kode ini ke URL
situs:
javascript:alert(‘hello world’);
Tentu, kita bisa masukkan lebih dari 1 perintah di 1 baris. Selain itu,
kita bisa menggunakan perintah alert() untuk memunculkan cookie ataupun
variabel apapun yang dipakai di situs itu. Contoh:
javascript:alert(document.cookie); alert(variabel);
Hmm, tapi perintah-perintah tersebut hanyalah memunculkan suatu informasi tentang situs tersebut. Bagaimana kalau kita ingin menggantinya? perintah void() akan digunakan untuk ini. Contoh:
javascript:void(variabel=new value);
Struktur perintah untuk mengganti sebuah
elemen dari suatu cookie juga hampir sama.
javascript:void(document.cookie=”Field = myValue”);
Perintah ini bisa digunakan untuk membuat Field baru ataupun untuk mengganti sebuah Field sudah ada. Contoh, kalau kita ingin mengganti administration field,
javascript:void(document.cookie=”Admin=True”);
Diatas itu, perintah void() tidak hanya berlaku untuk sebuah elemen saja, kita bisa juga mengganti sebuah form. Misal, kita mempunyai kode seperti:
1.
javascript:void(document.cookie=”Field = myValue”);
Perintah ini bisa digunakan untuk membuat Field baru ataupun untuk mengganti sebuah Field sudah ada. Contoh, kalau kita ingin mengganti administration field,
javascript:void(document.cookie=”Admin=True”);
Diatas itu, perintah void() tidak hanya berlaku untuk sebuah elemen saja, kita bisa juga mengganti sebuah form. Misal, kita mempunyai kode seperti:
1.
2.
3.
4.
8.
8.
Dan kita masukkan kode yang berikut
javascript:void(document.forms[0].elements[1].options[1].value=”Aku”);
Maka, yang dilakukannya adalah mengganti
form yang pertama (/login.php), elemen yang kedua (select name=”loginID” ) dan
pilihan yang kedua (option value=”Dia”)
Dia menjadi “Aku”. Tentu, jumlah perintah yang bisa kita lakukan dengan javascript injection jauh lebih banyak seperti javascript:document.forms[0].DocTitle.value=’ http://www.websiteApaSaja.com’; atau javascript:void(document.forms[0].action=”http://www.google.com”; dan seterusnya.
Dia menjadi “Aku”. Tentu, jumlah perintah yang bisa kita lakukan dengan javascript injection jauh lebih banyak seperti javascript:document.forms[0].DocTitle.value=’ http://www.websiteApaSaja.com’; atau javascript:void(document.forms[0].action=”http://www.google.com”; dan seterusnya.
Pengertian JavaScript Injeksi
JavaScript adalah teknologi yang banyak digunakan dalam situs web dan
aplikasi berbasis web. JavaScript dapat digunakan untuk segala macam hal yang
berguna dan fungsi. Tapi bersama dengan ini datang beberapa masalah keamanan
tambahan yang perlu memikirkan dan diuji untuk. JavaScript dapat digunakan
tidak hanya untuk tujuan yang baik, tetapi juga untuk tujuan jahat.
Menggunakan JavaScript individu dapat memodifikasi dan mengubah informasi
yang ada dalam formulir. Hal ini dapat digunakan tidak hanya untuk mengubah tag
formulir input, tetapi juga bahwa cookie saat ini ditetapkan dalam browser, dan
nilai lain dalam sebuah website atau aplikasi web. Setiap jenis manipulasi
parameter yang ingin Anda lakukan biasanya dapat dilakukan dengan injeksi
Javascript.
Untuk mengeksekusi javascript apapun dalam sesi saat ini, pengguna akan
memasukkan javascript perintah spesifik dalam bar url browser dikurangi
http://. Semua perintah javascript harus dimulai dengan javascript: tag diikuti
oleh perintah javascript yang akan dieksekusi. Semua javascript berakhir
dengan; sehingga pengguna bisa memasukkan perintah javascript beberapa, asalkan
setiap perintah diakhiri dengan ; .
Pengertian JavaScript
Injection
Javascript injection adalah suatu teknik yang dapat digunakan untuk mengganti isi suatu situs
tanpa meninggalkan situs tersebut. Teknik ini memerlukan pengguna komputer
untuk memasukkan kode Javascript pada URL suatu suatu situs (jarang sekali suatu situs membiarkan kita untuk
melakukan javascript injection pada comment box, informasi, dll kecuali guestbook). 2 perintah yang biasa digunakan untuk Javascript injection adalah alert() dan void(). Contoh, untuk
membuat pop-up window, masukkan kode ini ke URL situs:
"javascript:alert(‘hello
world’);"
Tentu, kita bisa masukkan lebih dari 1
perintah di 1 baris. Selain itu, kita bisa menggunakan perintah alert() untuk
memunculkan cookie ataupun variabel apapun yang dipakai di situs itu. Contoh:
"javascript:alert(document.cookie);
alert(variabel);"
perintah-perintah ini hanya untuk
memunculkan suatu informasi tentang situs tersebut. Sedangkan jika kita ingin
menggantinya maka kita menggunakan perintah void(), contoh:
"javascript:void(variabel=new
value);"
Struktur perintah untuk mengganti sebuah
elemen dari suatu cookie juga hampir sama.
"javascript:void(document.cookie=”Field
= myValue”);"
Perintah ini bisa digunakan untuk membuat Field baru ataupun untuk mengganti sebuahField sudah ada. Contoh, kalau kita ingin mengganti administration field,
"javascript:void(document.cookie=”Admin=True”);"
Diatas itu, perintah void() tidak hanya berlaku untuk sebuah elemen saja,
kita bisa juga mengganti sebuah form. Misal, kita mempunyai
kode seperti:
1. <form action=”/login.php” method=”post”>
2. <input type=”submit” value=”Send Message to
Admin”>
3. </input>
4. <select name=”loginID”>
5. <option value=”Adi”> Adi
6. <option value=”Dia”> Dia
7. </select>
8. </form>
Dan kita masukkan kode yang berikut:
javascript:void(document.forms[0].elements[1].options[1].value=”Aku”);
Maka, yang dilakukannya adalah mengganti form yang pertama (/login.php),
elemen yang kedua (<select name=”loginID”> ) dan pilihan yang kedua
(<option value=”Dia”> Dia) menjadi “Aku”. Tentu, jumlah perintah yang
bisa kita lakukan dengan javascript injection jauh lebih banyak
seperti javascript:document.forms[0].DocTitle.value=’ http://www.websiteApaSaja.com’;
atau javascript:void(document.forms[0].action=”http://www.google.com”; dan
seterusnya.
