loading...
berbagi-itu-indah-dan-menyenangkan

08 April, 2010

XSS its can become a nightmare

By gearboxxx


Mengenal XSS lebih dekat

XSS (Cross Site Scripting)Cross-site scripting adalah jenis komputer keamanan kerentanan biasanya ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntikkan -script sisi klien ke halaman web yang dilihat oleh pengguna lain. An exploited cross-site scripting vulnerability can be used by attackers to bypass access controls such as the same origin policy . An-site scripting lintas kerentanan dieksploitasi dapat digunakan oleh penyerang untuk mem-bypass akses kontrol seperti kebijakan asal-usul yang sama . Cross-site scripting carried out on websites were roughly 80% of all security vulnerabilities documented by Symantec as of 2007. [ 1 ] Their impact may range from a petty nuisance to a significant security risk, depending on the sensitivity of the data handled by the vulnerable site, and the nature of any security mitigations implemented by the site's owner. Cross-site scripting dilakukan di situs Web adalah sekitar 80% dari semua kerentanan keamanan didokumentasikan oleh Symantec pada 2007. [1] Dampak beragam, mulai dari gangguan kecil dengan resiko keamanan yang signifikan, tergantung pada kepekaan data ditangani oleh situs rentan, dan sifat dari setiap mitigasi keamanan dilaksanakan oleh pemilik situs.



(read more in here)

Bugs xss

Wow kalo kita lihat ternyata efek dari xss cukup lumayan, Oke sekarang kita coba cari target. Pada illustrasi kali ini saya pilih situs yang berada di negara tetangga kita ini situsnya http://www.propwall.my. Oke target sudah ketemu. Bagaimana cara memastikan bahwa target yang kita dapatkan itu lemah(vuln)?. Sebelum melangkah ke tahap berikutnya saya ingatkan dulu. Untuk melakukan testing/attacker dengan metoda xss anda diharuskan mempunyai pengetahuan script html dan temen-temennya.

Testing Pertama

Oke sekarang mari kita buka target kita. Kemudian ketikkan sesuatu pada "Malaysia Property Search
Enter keywords:" dari website tersebut, contoh ketikkan "Hello" lalu tekan tombol explore atau enter aja. Maka akan muncul pesan "0 Properties For "Hello". Sekarang kita masukkan seperti ini

Hello

, maka akan muncul pesan "0 Properties For "
Hello" ....lho koq sama ...eits sebentar perhatikan posisi dari tulisan Hello yang pertama dan kedua. Tulisan Hello yang pertama berada pada baris 1, sedangkan tulisan Hello yang kedua pada baris ke 2. Nah berarti web ini vuln...karena apa kita bisa menginjeksi dengan script html lain.


Testing kedua


Oke sekarang kita buktikan benarkah web ini lemah???Sekarang kita ketikkan script lain seperti ini Hello kemudian enter. Apa yang terjadi??muncul kembali pesan "0 Properties For "Hello" tetapi tulisan Hello nya berkedip-kedip. Eng..ing...eng....berarti web ini lemah. Nah terakhir saya buat ini seperti ini ..Belthazored was here...Bro....I found bugs in your site

Ini Daftar situs yang memiliki bugs xss
1. http://www.propwall.my/properties/search?keywords=%3Cmarquee%3E%3Cblink%3EBelthazored+was+here...Bro....I+found+bugs+in+your+site%3C%2Fmarquee%3E%3C%2Fblink%3E&order=&filter=
2. http://www.ssig.gov.my/ssig/search.php
3. www.indosiar.com
4. www.tvri.co.id
5. www.sctv.co.id
6. http://www.virtualibrary.it
7. masih banyak di google aja

SELAMAT MENCOBA

Referensi :
1. Wikipedia
2. jasakom
3. echo.or.id

1 komentar :

  1. %3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%27%78%73%73%27%29%3C%2F%73%63%72%69%70%74%3E%

    BalasHapus