DISADVANTAGES PRESENTED BY HTML INLINE FRAMES IN INTEGRATION OF 3rd PARTY CONTENT

As new virtual structures emerge, new applications, new widgets, new services become available to embed in websites. One of the preferred solutions for embedding 3rd party content is the HTML Inline Frame or iFrame. In this context, the introduction establishes the importance of the matter: major market players like Facebook, Google and Microsoft decided to include this tag in their solutions, but is it safe? Also, what other problems might webmasters face by implementing it? The results of the research, problems and security threats, are classified in five categories: cross-domain communication, reflection attacks with XSS (cross-site scripting), CSS Overlay, URL Redirection and Host Content Dependence. For each group, examples and code samples are provided, where applicable.iFrame, security, cross-site scripting(XSS), cross domain, malware

Analisis Perbandingan Cross-Site Scripting Pada Framework PHP CodeIgniter dan Ruby on Rails Analysis Comparison of Cross-Site Scripting on PHP CodeIgniter and Ruby on Rails Frameworks

ABSTRAKSI: Pada saat ini kebutuhan akan informasi yang cepat dan akurat sangat diperlukan. Oleh karena itu, salah satu solusinya adalah dengan aplikasi berbasis web. Salah satu masalah yang sering dihadapi oleh pengembang yaitu faktor keamanan. Faktor keamanan sering tidak diperhatikan dalam pembangunan suatu aplikasi web. Sering kali pengembang menganggap bahwa memasang firewall cukup untuk melindungi suatu aplikasi web. Hal ini tidaklah tepat karena struktur pembuatan program juga menentukan keamanan suatu aplikasi web. Salah satunya dengan menggunakan fungsi XSS filtering. Dari kejadian seperti inilah muncul suatu istilah yaitu Cross-Site Scripting (XSS). Cross-Site Scripting tidak dapat dicegah dengan memasang firewall tetapi lebih disebabkan oleh struktur pembuatan program aplikasi web.Tugas akhir ini mengimplementasikan aplikasi Review Buku Novel yang dibangun dengan menggunakan framework dan bahasa pemrograman yang berbeda yaitu PHP CodeIgniter dan Ruby on Rails, dimana didalamnya terdapat form yang berfungsi sebagai media untuk melakukan pengujian terhadap Cross- Site Scripting. Nantinya akan dilakukan pengujian beberapa vektor XSS terhadap aplikasi web yang masing-masing dibangun menggunakan PHP CodeIgniter dan Ruby on Rails. Sehingga akhirnya dapat diketahui perbandingan tingkat keamanan PHP CodeIgniter dan Ruby on Rails dalam hal vulnerabilitas terhadap Cross-Site Scripting. Kata Kunci : Cross-Site Scripting, PHP CodeIgniter, Ruby on Rails, XSS filteringABSTRACT: Nowadays, the requirement of fast and accurate information are needed. Because of that, one of the solution is web base application. One of the problem which is often faced by developer is security issue. Security issue is not often concerned in web application development. Developer often consider installing firewall is enough to protect a web application. This is not right, because the making structure of a program also determine the security of a web application. For example is the using of XSS filtering function. These case emerges the term called Cross-Site Scripting (XSS). Cross-Site Scripting can’t be prevented by installing firewall but caused by the making structure of a web application.These final project implements Review Buku Novel application which is developed using different framework an programming language that is CodeIgniter PHP and Ruby on Rails which inside those two contain a form as a place to implement Cross-Site Scripting testing. Then, there will be implemented many XSS vector testing for each web application that is developed using CodeIgniter PHP and Ruby on Rails. Finally, it can be known the security comparison between CodeIgniter PHP and Ruby on Rails in term Cross-Site Scripting vulnerability.Keyword: Cross-Site Scripting, CodeIgniter PHP, Ruby on Rails, XSS filterin

Analisis Tingkat Kemanan Terhadap Cross-Site Scripting Pada Aplikasi Web Berbasis AJAX Dibandingkan Dengan Aplikasi Web Konvensional

ABSTRAKSI: Aplikasi web berbasis AJAX memang menyajikan aplikasi web yang lebih interaktif dan responsive, namun sayangnya peningkatan ini juga dibarengi dengan meningkatnya serangan pada aplikasi web itu sendiri [7]. Salah satu vulnerable pada AJAX adalah Cross-Site Scripting(XSS).Cross – Site Scripng(XSS) adalah salah satu vulnerable umum pada aplikasi web, dimana seorang attacker menyisipkan suatu script (dapat berupa Javascript atau VBScript) pada halaman web, kemudian akan dieksekusi di web browser klien(victim)[6].XSS ini merupakan permasalah lama yang dihadapi web konvensional, dan merupakan vulnerable yang cukup ditakuti pada web konvensional. Dan pada AJAX, vulnerable ini mengalami sedikit perubahan dan bahkan menjadi semakin menakutkan[6].XSS pada web konvensional hanya dapat menyerang web browser klien, sedangkan XSS pada AJAX selain menyerang web browser klien juga dapat menyerang AJAX engine.Kata Kunci : AJAX, interaktif, responsive, XSS, Cross Site Scripting, vulnerableABSTRACT: AJAX based web application provides a more interactive and responsive web, but this improvement increase several attack opportunities[7]. One of the vulnerable known as Cross-Site Scripting Attack.Cross –Site Scripting(XSS) is one of a common vulnerable on based web application, the attacker inject script(usually Javascript or VBScript) into web page that is executed in client/ victim web browser[6]XSS was problem of convensional based web application, and became scary vulnerable in convensional based web application. But in AJAX, this vulnerable have been changed, and became scarier in AJAX based web application[6].XSS on konvensional based web application only attack client web browser, but on AJAX based web application, XSS not only attack client web browser but attack AJAX engine too.Keyword: AJAX, interactive, responsive, XSS, Cross Site Scripting, vulnerabl

ImageSubXSS: an image substitute technique to prevent Cross-Site Scripting attacks

Cross-Site Scripting (XSS) is one of serious web application attack. Web applications are involved in every activity of human life. JavaScript plays a major role in these web applications. In XSS attacks hacker inject malicious JavaScript into a trusted web application, execution of that malicious script may steal sensitive information from the user. Previous solutions to prevent XSS attacks require a lot of effort to integrate into existing web applications, some solutions works at client-side and some solutions works based on filter list which needs to be updated regularly. In this paper, we propose an Image Substitute technique (ImageSubXSS) to prevent Cross-Site Scripting attacks which works at the server-side. The proposed solution is implemented and evaluated on a number of XSS attacks. With a single line, developers can integrate ImageSubXSS into their applications and the proposed solution is able to prevent XSS attacks effectively

Current state of research on cross-site scripting (XSS) – a systematic literature review

Context: Cross-site scripting (XSS) is a security vulnerability that affects web applications. It occurs due to improper or lack of sanitization of user inputs. The security vulnerability caused many problems for users and server applications. Objective: To conduct a systematic literature review on the studies done on XSS vulnerabilities and attacks. Method: We followed the standard guidelines for systematic literature review as documented by Barbara Kitchenham and reviewed a total of 115 studies related to cross-site scripting from various journals and conference proceedings. Results: Research on XSS is still very active with publications across many conference proceedings and journals. Attack prevention and vulnerability detection are the areas focused on by most of the studies. Dynamic analysis techniques form the majority among the solutions proposed by the various studies. The type of XSS addressed the most is reflected XSS. Conclusion: XSS still remains a big problem for web applications, despite the bulk of solutions provided so far. There is no single solution that can effectively mitigate XSS attacks. More research is needed in the area of vulnerability removal from the source code of the applications before deployment

SQLSCAN: A Framework to Check Web Application Vulnerability

Security vulnerabilities in web applications that are being found today are much higher than in any operating systems. So it clearly means that threats intended at web applications are utilizing vulnerabilities at the application. Simultaneously, amount and impact of security vulnerabilities on web applications has increases as well. Almost in all online transactions user access is authorized before providing access to database of application. But organized injection could provide entry to unauthorized users and it almost achieved via SQL injection and Cross-site scripting (XSS). In this article we provide a web vulnerability scanning and analyzing tool of various kinds of SQL injection and Cross Site Scripting (XSS) attacks named as SQLSCAN. Our proposed method will work with web application developed on any technology like PHP, JAVA, ASP .NET. We evaluate our proposed scanner by experiments to calculate its performance. We also evaluate the performance of SQLSCAN with performance of parallel tools in the literature. Keywords: Web Application security, Attack, Injection, SQL, XSS, Vulnerability, Scanner.

Peningkatan Keamanan Web Terhadap Serangan Cross Site Scripting (XSS).

Teknologi dynamic web page kini telah menjadi bagian yang tidak terpisahkan dari kehidupan dunia maya. Teknologi ini membawa perubahan yang signifikan dalam proses pembangunan sistem penyedia layanan dalam jaringaninternet. Teknologi ini memampukan penyedia layana untuk memberikan layanan yang lebih inovatif. Efek yang diharapkan tentu saja peningkatan dari segi ekonomi. Namun dibalik keuntungan-keuntungan tersebut, teknologi ini memilikipermasalahan dari segi keamanan. Permasalahan keamanan tersebut dinamakan Cross Site Scripting, atau juga dikenal sebagai XSS. Kebocoran informasi penting merupakan hal yang dapat terjadi jika kelemahan ini tidak ditangani denganbaik.Penelitian ini bertujuan mempelajari bagaimana cara kerja cross site scripting (XSS) dan kemudian mengembangkan suatu metode pencegahan dan pengamanan website terhadap serangan XSS. Sebagai bahan studi kasus dipilih sebuah vulnerable CMS (Content Management System) yaitu AuraCMS yang banyak digunakan sebagai aplikasi portal tetapi masih memiliki kelemahan. Beberapa aplikasi pada AuraCMS memiliki vulnerable terhadap serangan Cross Site Scripting, yaitu aplikasi kirim artikel dan aplikasi buku tamu. Melalui pengkajian penelitian, maka dikembangkan suatu modul yang berfungsi sebagai filter untuk mencegah serangan XSS tersebut. Modul tersebut berisi beberapa fungsi yang berguna untuk menyaring masukan berupa kode atau injeksi kode. Dengan adanya modul filter tersebut, masukan berupa kode pada kedua aplikasitersebut dapat dihindari sehingga aplikasi yang dibuat dapat berjalan sesuai dengan yang diharapkan dan terhindar dari serangan XSS yang merusak

Penerapan Analisis Kerentanan XSS dan Rate Limiting pada Situs Web MTsN 3 Negara Menggunakan OWASP ZAP

Indonesia yang sudah memasuki era digitalisasi membuat sektor pendidikan diharapkan mampu beradaptasi. Learning Daring kini menjadi salah satu metode pembelajaran di Indonesia. Dengan adanya kondisi dan situasi tersebut, situs web memiliki peran penting dalam penunjang pendidikan di era digital saat ini. Hal tersebut memicu perlunya analisis terhadap kerentanan situs-situs web sekolah yang ada di Indonesia. Sasaran penerapan analisis ini ada pada situs web MTsN 3 Negara. Analisis kerentanan cross site scripting (XSS) serta rate limitingbekerja untuk mencegah peretasan yang merugikan situs web MTsN 3 Negara. Penerapan analisis ini menggunakan salah satu perangkat lunak bernama OWASP sebagai media pendukungnya. Adapun hasil dari analisis keamanan situs web MTsN 3 Negara ini terdapat kerentanan pada rate limiting serta percobaan analisis cross-site scripting (XSS) yang tidak ditemukan. Selain itu, terdapat juga solusi-solusi terhadap kerentanan yang ada pada situs web MTsN 3 Negara

ANALISIS CROSS-SITE SCRIPTING (XSS) INJECTION – REFLECTED XSS AND STORED XSS MENGGGUNAKAN FRAMEWORK OWASP 10

Saat ini, banyak situs memanfaatkan sepenuhnya konten client-server (sebagian besar ditulis dalam JavaScript) untuk menembah pengalaman klien. Sebaliknya, tren ini  juga telah memperluas keberadaan dan frekuensi serangan cross-site scripting (XSS). Keadaan seperti itu dapat muncul, misalnya, karena kurangnya kesadaran akan masalah keamanan oleh pengembang, atau karena kesalahan pemrograman yang disebabkan oleh kendala keuangan dan waktu. Penelitian ini mencakup dua pendekatan umum untuk menginjeksi kode berbahaya (malicious code) ke halaman web yang ditampilkan kepada pengguna yaitu Reflected XSS dan Stored XSS. Penelitian ini bertujuan untuk mengetahui cara kerja jenis serangan XSS Reflected dan Stored XSS serta menyediakan pencegahan atau tindakan preventif terhadap jenis serangan ini.&nbsp