Deface tanpa merusak situs, apa bisa? Mungkin judul ini pernah dibahas oleh teman-teman underground yang pernah menerbitkan magazinenya. Menurut saya, namanya deface pasti merusak, karna deface mengganti tampilan situs dengan gambar yang di sisipkan. Mungkin saja terjadi tapi
hanya pada sisi client.
Saya akan mencoba melakukan deface tanpa merusak situs pada web yang sebelumnya diinstal di localhost. (website yang saya buat sendiri untuk melakukan demo ini dengan menggunakan aplikasi XAMPP) bila teman-teman ingin membuat, buat saja dengan XAMPP.
Saya menginstal pada folder yang bernama pentest pada XAMPP. Buka http://localhost/pentest/ lalu lihat pada bagian bawah terdapat form search. Coba msukan syntax
html di bagian sana (kolom search). Untuk lebih simple, masukan saja syntax alert seperti <script>alert(‘hello’)</script> lalu klik tombol search.
Browser berhasil menampilkan alert yang bertuliskan hello.berarti terdapat vuln pada source search
tersebut. Vuln XSS tersebut merupakan type yang kedua, yaitu:
Xss yang tidak berlanjut atau non-persistence. Penyerang umumnya memanfaatkan form atau metode GET yang ada dalam protokol HTTP. Kode “disuntikan” melalui URL yang di jalankan di address bar
browser tersebut. Kode yang di suntikan tidak disimpan dalam database sehingga XSS yang di jalankan
tidak bersifat lanjutan karena korban harus mengikuti URL yang terinfeksi atau melakukan instruksi
yang ada untuk membuka XSS. Sekarang saya akan memberikan tampilan gambar dengan syntax <img src=”url gambar”>.
Misalnya, saya akan menampilkan gambar google. Cari image location dari gambar google tersebut. Saya akan memasukan syntax <img src=”http://www.google.co.id/intl/id_id/images/logo.gif”> tanda
halaman pencarian seperti gambar di bawah ini.
Tampilan yang akan muncul adalah sebagai berikut.
Gambar yang di tampilkan adalah gambar google, karna attacker menginjectkan kode html yaitu <img src=”http://www.google.co.id/intl/id_id/images/logo.gif”> kesalah satu form yang memiliki vuln XSS.
Anda dapat mencobanya dengan syntax-syntax yang lain, atau melihat di http://ha.ckers.org/xss.html.
Sekian tulisan yang saya buat ini semoga di terima oleh staff X-code(amien....) dan semoga tulisan
saya ini bermanfaat buat teman-teman yang membacanya .dan bagi yang sudah tahu maaf kalau repost
dan tidak bermanfaat :P
hanya pada sisi client.
Saya akan mencoba melakukan deface tanpa merusak situs pada web yang sebelumnya diinstal di localhost. (website yang saya buat sendiri untuk melakukan demo ini dengan menggunakan aplikasi XAMPP) bila teman-teman ingin membuat, buat saja dengan XAMPP.
Saya menginstal pada folder yang bernama pentest pada XAMPP. Buka http://localhost/pentest/ lalu lihat pada bagian bawah terdapat form search. Coba msukan syntax
html di bagian sana (kolom search). Untuk lebih simple, masukan saja syntax alert seperti <script>alert(‘hello’)</script> lalu klik tombol search.
Browser berhasil menampilkan alert yang bertuliskan hello.berarti terdapat vuln pada source search
tersebut. Vuln XSS tersebut merupakan type yang kedua, yaitu:
Xss yang tidak berlanjut atau non-persistence. Penyerang umumnya memanfaatkan form atau metode GET yang ada dalam protokol HTTP. Kode “disuntikan” melalui URL yang di jalankan di address bar
browser tersebut. Kode yang di suntikan tidak disimpan dalam database sehingga XSS yang di jalankan
tidak bersifat lanjutan karena korban harus mengikuti URL yang terinfeksi atau melakukan instruksi
yang ada untuk membuka XSS. Sekarang saya akan memberikan tampilan gambar dengan syntax <img src=”url gambar”>.
Misalnya, saya akan menampilkan gambar google. Cari image location dari gambar google tersebut. Saya akan memasukan syntax <img src=”http://www.google.co.id/intl/id_id/images/logo.gif”> tanda
halaman pencarian seperti gambar di bawah ini.
Tampilan yang akan muncul adalah sebagai berikut.
Gambar yang di tampilkan adalah gambar google, karna attacker menginjectkan kode html yaitu <img src=”http://www.google.co.id/intl/id_id/images/logo.gif”> kesalah satu form yang memiliki vuln XSS.
Anda dapat mencobanya dengan syntax-syntax yang lain, atau melihat di http://ha.ckers.org/xss.html.
Sekian tulisan yang saya buat ini semoga di terima oleh staff X-code(amien....) dan semoga tulisan
saya ini bermanfaat buat teman-teman yang membacanya .dan bagi yang sudah tahu maaf kalau repost
dan tidak bermanfaat :P
source : x-code magazine
Labels:
ilmu hacking
Previous Article
Responses
0 Respones to "Deface tanpa merusak situs"
Posting Komentar