Tuesday, 7 July 2015

Cross Site Scripting (XSS) Dijelaskan dan Lengkap Situs Defacement Tutorial.

Cross Site Scripting (XSS) adalah kerentanan yang ditemukan di situs yang memungkinkan serangan / cracker berbahaya untuk menyuntikkan script sisi klien ke dalam halaman web. Dengan menggunakan celah ini merupakan attaker dapat deface website, serangan pengalihan dapat dilakukan dan sesi cookie mencuri juga possiable dengan memanfaatkan kerentanan ini.
Ada dua jenis XSS kerentanan yang ditemukan di aplikasi web.
1. Non-persistent
2. Persistent



# Non-persistent
Jenis non-persistent XSS kerentanan adalah salah satu yang paling comman. Non-persistent XSS terjadi ketika permintaan HTML berbahaya dilakukan oleh penyerang dan query yang digunakan immiediatly oleh server-side untuk menghasilkan hasil halaman.


# Persistent
Jenis Persistent XSS kerentanan adalah jenis yang berbahaya dari kerentanan. Hal ini terjadi ketika permintaan HTML berbahaya dilakukan oleh penyerang dan permintaan yang immediatly disimpan oleh server dan permanen ditampilkan pada laman normal.


Dalam tutorial ini saya akan menunjukkan cara untuk deface situs rentan XSS melalui Non-persistent XSS vulnerabillty.
Dalam rangka untuk mencari situs rentan terhadap XSS menggunakan google Dorks. Google dork paling comman digunakan oleh penyerang untuk mengeksploitasi kerentanan XSS adalah:
inurl:? search.php q =
* Untuk lebih Dorks untuk menemukan XSS situs rentan, Klik Disini.
Setelah googling dork, pilih situs web apapun, dan memeriksa apakah itu dapat dimanfaatkan.


Bagaimana menemukan jika website ini XSS rentan atau tidak.
Contoh Website:
www.website.com/search.php?q=
Membuka website, Anda akan menemukan kotak pencarian. di kotak pencarian ketik kode ini:
<Script> alert ("XSS Terdeteksi !!") </ script>
Dan klik pada pencarian. Jika situs rentan, Anda akan mendapatkan kotak Jquery mengatakan "XSS Terdeteksi", jika Anda punya bahwa Anda dapat memindahkan foreward untuk deface situs situs.
Sekarang jika Anda ingin hanya untuk menampilkan pesan sederhana seperti "H4CK3D", Masukkan kode HTML di bawah ini dan klik pada pencarian.
<H1> <center> <b> H4CK3D </ h1> </ center> </ b>
* Anda dapat mengedit kode di atas untuk mengubah warna teks, huruf dll jika Anda memiliki pengetahuan tentang HTML.


Bagaimana deface.
Dalam rangka untuk deface website, mengambil screenshot dari halaman deface Anda dan meng-upload pada setiap gambar gratis hosting website. Setelah meng-upload perhatikan URL gambar.
Goto kotak pencarian dan ketik ada kode berikut:
<Center> <src = gambar "URL gambar deface Anda di sini"> </ center>
Dan klik pada pencarian, Yeah! kita selesai, gambar deface Anda ada di website. #Mission Capai #Website Defacement Sucessful.


#Wait Untuk selanjutnya tutorial website Defacement menggunakan Persistent XSS kerentanan, untuk permeanent deface.


Memiliki Masalah? Menyebutkan mereka dalam komentar Anda untuk mendapatkan soloution tersebut.
Facebook Twitter Google+

 
Back To Top