†DragonFly1st™†

JavaScript Injection Overview

JavaScript adalah sebuah teknologi digunakan secara luas di dalam situs web dan aplikasi berbasis web. JavaScript dapat digunakan untuk segala macam hal yang berguna dan fungsi. Tetapi bersama ini muncul beberapa masalah keamanan tambahan yang perlu memikirkan dan diuji untuk. JavaScript dapat digunakan tidak hanya untuk tujuan yang baik, tetapi juga untuk tujuan jahat.

Menggunakan JavaScript seorang individu dapat memodifikasi dan mengubah informasi yang ada di dalam formulir. Hal ini dapat digunakan tidak hanya untuk mengubah input bentuk tag, tetapi juga kue itu yang sedang diatur dalam browser, dan nilai lain dalam situs web atau aplikasi web. Setiap jenis parameter manipulasi yang Anda ingin melakukan biasanya dapat dilakukan dengan Javascript injeksi.

Untuk melaksanakan ada javascript dalam sesi saat ini, pengguna akan masukkan perintah javascript spesifik dalam bar url browser minus http://. Semua perintah javascript harus diawali dengan javascript: tag diikuti dengan perintah yang ada javascript yang akan dijalankan. Semua javascript yang diakhiri dengan; sehingga pengguna dapat memasukkan beberapa perintah javascript, asalkan setiap perintah diakhiri dengan;
JavaScript modifikasi cookie

Menggunakan JavaScript pengguna dapat memodifikasi pengaturan cookie saat ini. Hal ini dapat dilakukan dengan beberapa dasar perintah JavaScript. Untuk melihat isi saat ini Anda saat ini cookie / s, gunakan perintah JavaScript berikut. Letakkan ini di browser Anda URL bar.

javascript: alert (document.cookie);

Perintah ini akan popup sebuah kotak yang berisi daftar cookie Anda saat ini. Seorang pengguna yang jahat bisa menggunakan javascript untuk mengubah nilai pada cookie. Misalnya katakanlah aplikasi web Anda menguji otorisasi cookie set ke true bila pengguna telah berhasil login dan lulus tes otorisasi. Untuk mengubah nilai-nilai dalam cookie, pengguna jahat akan menjalankan javascript seperti berikut ini dari url bar dalam browser.

javascript: void (document.cookie = "otorisasi = true");

Hal ini akan menyebabkan kue saat ini parameter otorisasi = false dirubah pada otorisasi = true. Mana pengguna jahat mungkin tidak memiliki otorisasi asli lulus tes. Pengguna jahat baru saja melewati tes otorisasi dan memperoleh akses ke isi yang sensitif. Seperti yang Anda bisa bayangkan, ini dapat menyebabkan masalah berat dalam peningkatan hak istimewa, jika pengguna jahat bisa menggunakan JavaScript injeksi untuk melewati proses otorisasi yang benar.

Jika Anda menguji untuk JavaScript injeksi dan ingin melihat apakah cookie telah diubah anda akan menjalankan perintah seperti berikut, kecuali Anda ingin mengganti nama cookie dan nilai dengan cookie Anda inginkan untuk menguji. Mulailah dengan perintah javascript untuk mengubah cookie dan kemudian paku pada fungsi waspada javascript untuk melihat apa cookie diubah menjadi. Misalnya

javascript: void (document.cookie = "otorisasi = true"); javascript: alert (document.cookie);

Anda seharusnya sekarang dapat melihat parameter cookie baru dalam kotak popup.
Formulir HTML JavaScript modifikasi

Anda juga dapat menggunakan javascript untuk memodifikasi setiap nilai dengan html formulir, termasuk formulir tersembunyi, dan cacat bentuk. Berikut ini adalah contoh bagaimana Anda akan menetapkan masukan tag bernama email dalam bentuk angka 0 (atau bentuk pertama pada halaman)

javascript: void (document.forms [0]. email.value = "test@test.com");

Anda akan perlu melihat kode sumber halaman html untuk menentukan apa yang perlu diubah dan bagaimana mengubahnya. Verifikasi nomor bentuk dan menetapkan angka yang benar. Bentuk pertama selalu 0. Selanjutnya mencari tag html yang ingin Anda ubah. Akhirnya tambahkan nilai baru Anda ingin tag html menjadi. Ini akan memungkinkan Anda untuk mengubah informasi dalam bentuk html.
Bagaimana melindungi terhadap Javascript Injection

Selalu memvalidasi input yang diterima terhadap daftar putih. Jika Anda menggunakan daftar hitam Anda bisa dan mungkin akan muncul terhadap masalah-masalah pengkodean. Selalu menggunakan whitelist saat memvalidasi input.

Jangan mengandalkan validasi sisi klien untuk memvalidasi input pengguna. Validasi sisi klien besar untuk membantu pengguna input data yang benar. Namun pengguna jahat tidak akan menggunakan ini dan bisa melewati validasi sisi klien. Sisi klien memvalidasi adalah tidak boleh dianggap sebagai memperbaiki keamanan. Menggunakan javascript untuk memvalidasi input tidak boleh digunakan. Seperti yang dapat Anda lihat javascript sangat mudah untuk mengubah dan memodifikasi pada setiap halaman html.

Selain memvalidasi input setiap waktu, bukan hanya saat data diterima awalnya. Sebagai contoh jika Anda menetapkan cookie, pastikan bahwa Cookie adalah nilai yang sama dan sudah benar pada masing-masing dan setiap permintaan. Seorang pengguna yang jahat dapat memodifikasi dan mengubah nilai setiap saat selama sesi tersebut.
Menyuntikkan javascript ke halaman yang ada

Anda tidak hanya dapat menggunakan javascript untuk memanipulasi parameter, cookie, namun Anda juga dapat menyuntikkan javascript ke halaman dinamis menyebabkan halaman untuk membuat berbeda, melakukan sesuatu yang lain, atau hal berbahaya lainnya. Memikirkan sebuah serangan XSS.