Legit
CopyLeft!© | darmanex
2008 - 2017
design by Dzignine
Powerd by Blogger
January 14, 2009

Defacement with XSS on CBIS

Sebenarnya niatnya cuman mau ngeliat jadwal tapi "evil" disebelah saya agak sedikit menggoda..:P.
Dari pada berbelit-belit langsung aja kalo gitu kita ke pokok masalahnya.
Mungkin XSS udah gak asing lagi ditelinga kita, karena bug's ini sudah
cukup lama ditemukan sekitar pertengahan 2002 dan dipublikasi dimailing list Bugtraq. Mungkin para web admin maupun programmer dari situs yang dikelola masih menganggap remeh dengan bug's ini.
Dengan celah XSS ini pula attacker mampu mengexploitasi web yang akan diserang, misalkan pencurian Cookie, Social Engineering, Virtual Defacement(ini yang akan saya lakukan), dan masih banyak lagi keampuhan dari bug's XSS ini. Untuk lebih jelasnya silahkan anda googling sendiri dengan mengetikkan keyword "XSS".:P
Disini saya akan menunjukkan teknik yang paling biasa dilakukan para attacker yaitu melakukan deface halaman web secara virtual atau biasa disebut dengan Virtual Defacement.
Yupz,,pertama-tama saya tertuju pada link web yang saya akan akses yaitu fasilitas untuk pencarian jadwal. Memang dengan sekilas tidak ada yang aneh pada page pencarian jadwal tersebut, karena tidak terjadi error sedikit pun pada page yang saya akses.



Tapi dengan rasa keingin tahuan, saya mulai sedikit menganalisa dari page tersebut Apakah halaman pencarian jadwal tersebut bener-bener tidak ada masalah(thinking), dengan begitu pertama-tama saya melihat source dari page tersebut.



Setelah melihat dari source diatas, kita telah mengetahui untuk sebuah variable input mempunyai value yaitu "nip", yang dimana pada nilai dari variable yang akan kita cari merupakan Nama-nama dari pegawai.




Dan pada source diatas lagi, disitu terlihat berupa variable "name" dengan mempunyai nilai yaitu "thn_sid". Nah dari situ kita bisa mencoba-coba(iya,disini saya lakukan dengan coba-coba terlebih dahulu), yaitu dengan memodifikasi URL page tersebut seperti berikut

http://xxxxxxxx.namadomainnya/carijadwal.html?nip=0011104803|Ali%20Mudhofir%2C%20Drs.%2CM.Hum&thn_sid=%3Cb%3ETesting%3C/b%3E&submit1=CARI




Nah, dari hasil dari percobaan ini lah kita bisa mengetahui apakah page tersebut vulnerable atau tidak. Muncul pertanyaan, Apakah page tersebut terkena bug XSS??

Sesuai dengan judul dari tulisan ini yaitu melakukan Virtual defacement, maka selanjutnya saya akan mencoba memasukkan beberapa perintah dan tentu saja memanggil "gambar" yang akan saya ganti halaman tersebut tentunya dengan "gambar" yang saya panggil melalui URL yang sudah saya modifikasi tentunya.:P



Dengan hasil dari injekan melalui URL seperti pada gambar diatas dapat dikatakan saya melakukan deface halaman tanpa melakukan pengrusakan dan hanya mengganti halaman tersebut ke tampilan halaman yang saya inginkan, dimana teknik yang saya pakai kali ini adalah teknik XSS yang paling biasa digunakan yaitu dengan merubah tampilan dari web yang kita lakukan injeksi URL dengan bantuan bug's XSS.
Sebenarnya masih banyak teknik-teknik lain yang bisa kita gunakan seperti menambah user,melakukan Social Engineering, maupun pencurian cookie si user. Tapi pada kasus ini, saya hanya melakukan teknik yang sangat sederhana. Jadi, semua tergantung dari kreatifitas kita masing-masing. :P
Mungkin itu aja dari saya yang hanya menunjukkan bagian dari XSS Attack dan semoga celah tersebut dapat di Patch secepatnya. :)

4 comments:

  1. lanjuutt bos...
    siap2 suruh bkin surat permohonan maaf ke rektor (dance)

    ReplyDelete
  2. Hihihihii,.lanjut??atut ah omz, tar di jewer ma pak rektor,,(rock)

    ReplyDelete
  3. wew .. ngeri .. hacker nih ..

    **atut ..kborr....

    ReplyDelete
  4. @deanet
    Wekzz..heker dari hongkong!!
    Bukannya situ yg heker,,,ckckckck.. :P

    *kaboorr juga ah*.....

    ReplyDelete

Please leave a comment and do not give a spam! Comments that smells of spam will be deleted without prior notice