Mencegah Clickjacking dan XSS dengan CSP

  • Deviant Design Merupakan Layanan Jasa Desain dan Social Media Management Yang Mempunyai Pusat Di Jember. Dengan layanan yang murah, cepat dan pastinya dengan kualitas kelas atas. Mampu mengatur segala kebutuhanmu dalam mengelola social media.
Content Security Policy adalah header yang biasa digunakan untuk mengkonfigurasi laman web dimana kita dapat membuat aturan aturan tertentu yang dapat digunakan sebagai tindakan preventif dari serangan attacker terhadap laman website kita. Menggunakan Content Security Policy (CSP) bukan berarti situs kita benar benar terlindungi karna banyak cara yang digunakan untuk melakukan bypass, hal ini disebabkan karena kita menulis aturan seperti block script , source dan lain lain. Jika attacker dapat memanipulasi request maka CSP juga dapat ditembus.

Mitigasi Clickjacking Dengan CSP
Mungkin kalian lebih suka menggunakan deny iframe daripada CSP dan memang itu lebih baik. Tapi tidak ada salahnya kalian menggunakan CSP.

Disediakan Sebuah laman web tanpa proteksi apapun. Ketika dites menggunakan clickjacking tester didapatkan web tersebut vuln clickjacking

Penggunaan csp untuk mitigasi clickjacking dengan cara menambahkan header seperti dibawah

header("Content-Security-Policy: frame-ancestors 'none'");
Preview

Kita bisa melakukan cek dengan melihat header pada laman tersebut menggunkan tools network


Jika tampilan header muncul seperti gambar diatas maka CSP Sudah terpasang. Kalian juga bisa melakukan retest jika ragu dengan hasilnya
 Ketika di Iframe akan menunjukkan lama kosong. beberapa kasus juga menampilkan laman CSP.

Mitigasi XSS Dengan CSP
hampir sama dengan yang tadi mitigasi xss juga dapat dilakukan via header hal ini bukan cara terbaik melakukan pengaman terhadap xss tapi harus dilakukan sebagai pengamana ke dua

Contoh celah paling umum xss adalah ketika penggunaan html atau javascript bisa di injeksikan ke dalam website.


Hal ini nantinya akan membuat website menampilkan pop up berisi alert atau hal hal lainnya yang dapat membahayakan user.


Untuk itu kita gunakan header CSP pada penggunaan seperti dibawah untuk mencegah adanya popup

header("Content-Security-Policy: script-src 'sha256-qznLcsROx4GACP2dm0UCKCzCG-HiZ1guq6ZZDob_Tng='");

Saya sendiri kurang tau bagaimana cara kerja header diatas tapi yang jelas ini bisa mencegah xss walaupun kode html telah diinjeksi

 Preview



Jika kalian ingin menerapkan header ini ke semua laman kalian bisa menggunakan .htaccess dengan add header (nginx) atau header set (apache). Mungkin itu aja jangan lupa main ke fanspage kami buat dapetin info info bypass csp

Artikel Terbaru