XSS itu apaan?
Pernah dengar tentang SQL injection, itu loh yg mencoba masuk ke suatu situs dengan memanfaatkan kesalahan dari sisi websitenya untuk mendapatkan hak akses masuk bahkan merubah isi situs..
klo XSS pernah denger juga kan?? klo belom gw coba bagi2 info dikit deh, tapi klo ga mendetail y harap maklum, gw masih newbie soalnya, hhe.. :D yg gw tw XSS tu suatu cara memasukan code/script HTML kedalam suatu web site dan dijalankan melalui browser di client. XSS merupakan pilihan yang menarik bagi para newbie yang tidak mempunyai shell dan sploit, karena untuk melakukan xss hanya di butuhkan sebuah browser.
kabarnya sih, yg nemuin neh XSS adalah mas Dani a.k.a XNUXER waktu lagi ngejalanin penetration test ke situs KPU taon 2004. XSS pun bisa digunakan untuk mencuri cookies, sehingga seorang cracker bisa menggunakan identitas orang lain dengan menggunakan cookies hasil curian.
XSS merupakan pilihan yang menarik bagi para newbie yang tidak mempunyai shell dan sploit, karena untuk melakukan xss hanya di butuhkan sebuah browser. Ingat XSS adalah hanya memasukan script kedalam url site target . Ada perbedaan antara XSS dengan Script injetion . Xss hasilnya hanya bisa diliat secara temporary beda dengan script injection yang full merubahnya sama seperti kita mendapatkan root dan merubah halaman index nya.
*Script yang bisa digunakan untuk XSS adalah
-> HTML
-> JavaScript
-> VBScript
-> Active X
-> Flash
XSS juga bisa buad ngisengin temen ato siapa aj lah, sekedar iseng buat nampilin foto seseorang di website yg vulnerability ama XSS (nampilin foto seseorang yg dicintai mungkin, ato mungkin nampilin foto org yg ga disukai biar dijadiin tersangka, hhe) ato cuma sekedar nampilin tulisan gede yg seolah-olah di deface ama lu-lu pade, nah klo gw sih cuma sekedar iseng doank, gw cuma ngetes XSS buad nampilin foto she dia di web yg ada bug XSS nya.
caranya gmn?
caranya ga susah2 amad. buat ngetes situs yg masih vuln ato ga nya, enaknya situs yg ada menu search nya sih, trus ntar di kolom search nya dimasukkin perintah2 HTML, JS, VBS, dan keluarga besarnya deh pokoknya. contohnya klo di menu searchnya di kasi perintah
<script>alert(’Tes, XSS-nya masih bisa’)</script>
trus klo ada keluar alertnya, berarti tuh situs masih vuln, boleh deh lu-lu coba (ingat resiko ditanggung ama penumpang ya..), klo untuk script nya kalian bole tanya2 ama om yg paling baek deh (pada tau kan sapa? om gugel), gw sempat nyobain XSS di situs ini, n gw ga ngapa2in ne situs, cuma buat nampilin foto doank, ato sekedar iseng cuma buat seolah-olah kita udah nge-deface tuh situs (padahal kagak) ya buat seneng-seneng aj namanya juga pembelajaran, iy ga, hhee...ne screenshot nya, tapi alhamdulillah sekarang ne situs perlahan2 udah memperbaiki vuln di website mereka, (jadi saiian bisa post ne tulisan, tapi temand2 udah ga bisa jadiin ne target saiia buat jadi percobaan kalian juga, maaf..) jadi buat temand2 blogger yg laen, silahkend mencari web target yg laen ya..tapi ingad hnya untuk sekedar pembelajaran dan pengetahuan, efek samping ditanggung ama penumpang..
Pernah dengar tentang SQL injection, itu loh yg mencoba masuk ke suatu situs dengan memanfaatkan kesalahan dari sisi websitenya untuk mendapatkan hak akses masuk bahkan merubah isi situs..
klo XSS pernah denger juga kan?? klo belom gw coba bagi2 info dikit deh, tapi klo ga mendetail y harap maklum, gw masih newbie soalnya, hhe.. :D yg gw tw XSS tu suatu cara memasukan code/script HTML kedalam suatu web site dan dijalankan melalui browser di client. XSS merupakan pilihan yang menarik bagi para newbie yang tidak mempunyai shell dan sploit, karena untuk melakukan xss hanya di butuhkan sebuah browser.
kabarnya sih, yg nemuin neh XSS adalah mas Dani a.k.a XNUXER waktu lagi ngejalanin penetration test ke situs KPU taon 2004. XSS pun bisa digunakan untuk mencuri cookies, sehingga seorang cracker bisa menggunakan identitas orang lain dengan menggunakan cookies hasil curian.
XSS merupakan pilihan yang menarik bagi para newbie yang tidak mempunyai shell dan sploit, karena untuk melakukan xss hanya di butuhkan sebuah browser. Ingat XSS adalah hanya memasukan script kedalam url site target . Ada perbedaan antara XSS dengan Script injetion . Xss hasilnya hanya bisa diliat secara temporary beda dengan script injection yang full merubahnya sama seperti kita mendapatkan root dan merubah halaman index nya.
*Script yang bisa digunakan untuk XSS adalah
-> HTML
-> JavaScript
-> VBScript
-> Active X
-> Flash
XSS juga bisa buad ngisengin temen ato siapa aj lah, sekedar iseng buat nampilin foto seseorang di website yg vulnerability ama XSS (nampilin foto seseorang yg dicintai mungkin, ato mungkin nampilin foto org yg ga disukai biar dijadiin tersangka, hhe) ato cuma sekedar nampilin tulisan gede yg seolah-olah di deface ama lu-lu pade, nah klo gw sih cuma sekedar iseng doank, gw cuma ngetes XSS buad nampilin foto she dia di web yg ada bug XSS nya.
caranya gmn?
caranya ga susah2 amad. buat ngetes situs yg masih vuln ato ga nya, enaknya situs yg ada menu search nya sih, trus ntar di kolom search nya dimasukkin perintah2 HTML, JS, VBS, dan keluarga besarnya deh pokoknya. contohnya klo di menu searchnya di kasi perintah
<script>alert(’Tes, XSS-nya masih bisa’)</script>
trus klo ada keluar alertnya, berarti tuh situs masih vuln, boleh deh lu-lu coba (ingat resiko ditanggung ama penumpang ya..), klo untuk script nya kalian bole tanya2 ama om yg paling baek deh (pada tau kan sapa? om gugel), gw sempat nyobain XSS di situs ini, n gw ga ngapa2in ne situs, cuma buat nampilin foto doank, ato sekedar iseng cuma buat seolah-olah kita udah nge-deface tuh situs (padahal kagak) ya buat seneng-seneng aj namanya juga pembelajaran, iy ga, hhee...ne screenshot nya, tapi alhamdulillah sekarang ne situs perlahan2 udah memperbaiki vuln di website mereka, (jadi saiian bisa post ne tulisan, tapi temand2 udah ga bisa jadiin ne target saiia buat jadi percobaan kalian juga, maaf..) jadi buat temand2 blogger yg laen, silahkend mencari web target yg laen ya..tapi ingad hnya untuk sekedar pembelajaran dan pengetahuan, efek samping ditanggung ama penumpang..
hhe..demi keamanan dua negara, sang model ane sensor om, ga bole iklan, sang artis ga mo tambah ngetop katanya, jadi saiia penuhi dengan melakukan sensor pada foto sang model..mo ganti model udah keburu di patch website nya, mo nyari website yg laen..hmmm...lagi malas om, si dia lagi sibuk, ga bisa ngasi penyemangat buat saiia lagi..buat sang model...semoga fans nya ga nambah banyak ya...ntar klo tambah banyak saiia bantuin buat bagi2in tanda tangannya deh...
so let's try make a proof of ur concept too..
original post @ http://idriz-blog.blogspot.com/
Posts
0 komentar " == XSS [CROSS SITE SCRIPTING] == ", Baca atau Masukkan Komentar
Post a Comment
Silahkan berikan komentarnya