GIMANA CARA HACKER NYURI COOKIE ADMIN DENGAN STORED XSS DAN PENCEGAHANNYA
HTML-код
- Опубликовано: 13 окт 2024
- buat para haters laravel, ini bukan laravelnya yang ga aman ya.. webnya sengaja gua bikin vulnerable untuk kebutuhan demo ajaa okee??
Donasi channel Malvin Val (OVO / GoPay / Dana / LinkAja)
saweria.co/mal...
📢 FOLLOW SOCIAL MEDIA 📢
/ malvin.val
/ malvinval
github.com/mal...
Gak semua framework / tech secara default mengimplement HttpOnly cookie seperti Laravel ini yaa. Secure ur app!!
Terima kasih atas ilmunya bang Malvin
terimakasih ilmunya bang, daging semua
Terimakasih bang
berarti tetap harus inject scriptnya? misal tiap input kita validasi dan sanitize dan cookie httpOnly tetap false apakah tetap bisa dicuri tokennya?
ga bisa, malah justru ini solusi yang bener. Bug XSS nya difixing dlu, baru cookienya diset ke true.
kalau bug XSSnya ga difixing, sama aja.
Dia bisa kasih script lain buat ngakalin nyuri user passnya.
contoh: script js untuk nimpa halaman login admin, seakan si admin logout lagi, akhirnya dia masukin tuh user pass. Jadilah user pass dicolong sama hacker.
jadi harusnya aman ya karna defaultnya true?
kalo dalam konteks ini iya aman. tapi ga semua framework itu secara default menerapkan ini. ada beberapa yang harus diconfigure secara eksplisit.
nah baru ini bermanfaat dari pada video video puzzle atau teka teki gaje yang ga masuk akal
pake Linux apa Windows bang?
Kalo dilihat dari UI-nya kayak ya ini Linux distro Ubuntu dengan Gnome DE
Keren Bg mudah dipahami
Bang kalau pakai JWT bisa dibobol pakai cara ini ya?
bisa dan solusinya sama, set httponly
klo konteks serverless masih rentan xss kah?
serverless itu arsitektur program, nggk ada hubungannya dgn xss attack
Hem. Gak ada cara lebih baik proteksi ?
ya minimal dikasih validasi aja oke ko
Always sanitize user input in both frontend and backend. No exception
Selalu validasi kasih rule. Kalo mau aman setiap aksi/update selalu terapkan auth di fn dan bn.