<(o)-(Back)--<

 

WWW.SPYROZONE.NET

  

 
[249]. ITS.AC.ID Vulnerable to XSS

    

  

-----------------------------------------------------------------------------------

Author  : SPYRO KiD

Contact : admin@spyrozone.net => http://spyrozone.net

CopyLEFT (c) 2008 www.spyrozone.net All Rights Reserved

19/07/2008 23.40.41 WIB

-----------------------------------------------------------------------------------

  

  

Terdapat celah XSS serius pada situs Institut Teknologi Sepuluh Nopember (http://its.ac.id) yang dapat dimanfaatkan oleh pihak-pihak yang tidak bertanggungjawab untuk membuat informasi palsu atau membuat halaman login tipuan guna mencuri informasi sensitif user.

 

Jump to http://its.ac.id (ITS memiliki versi baru untuk websitenya dengan alamat http://www.its.ac.id (dengan www)). Klik link "Web Personal Dosen". Anda akan dibawa menuju http://www.its.ac.id/personal/homebase.php, halaman yang berisi daftar nama-nama dosen ITS beserta link menuju data diri masing-masing Dosen.

 

 

Klik salah satu nama Dosen, maka akan tampil profil dosen tersebut.

 

 

Perhatikan, parameter ID melemparkan nilai berupa nama Dosen. Nilai tersebut ternyata tampil juga sebagai bagian dari link di halaman profil. Dengan demikian, ada kemungkinan celah XSS jika parameter tersebut tidak terfilter dengan baik. Saya uji coba memasukkan nilai berupa script sederhana pada parameter ID:

 

"></a><HR width="780"><CENTER><H1>XSSED<BR>BY<BR>HTTP://SPYROZONE.NET<NOSCRIPT>

 

Dan hasilnya adalah: 

 

 

Hmm.. berhasil ;) tinggal menggali lebih dalam ajah, maka anda bisa membuat informasi palsu guna mencuri data sensitif user. Sebagai contoh, saya membuat profil Dosen tipuan di halaman tersebut:

 

 

[Klik Disini]

Untuk melihat P.O.C nya ;)

 

Trik seperti ini sering dijadikan sebagai alat untuk meyakinkan korban bahwa si Penipu memiliki jabatan tertentu di suatu Instansi atau suatu perusahaan yang terpercaya ^_^

 

So, waspada selalu, keep learning and happy hacking!



/* ------------------------------|EOF|------------------------------ */

 

  <(o)-(Back)--<   

 WWW.SPYROZONE.NET