4
EXPLOITASI WEB SERVER PHP DENGAN METODE XSS (Cross Site Scripting)

.
Yang perlu dipersiapkan yaitu :
-------------------------------------------
1. Komputer yang terkoneksi dengan internet.
2. Rokok, kopi n cemilan.
3. Sedikit pengetahuan tentang XSS(Cross Site Scripting)

Artikel ini ditujukan kepada para newbie yang belum begitu mengerti apa
itu XSS (Cross Site Scripting), tidak usah berpanjang kata kita mulai saja
bahasan tentang XSS (Cross Site Scripting) ini.

Apakah itu XSS (Cross Site Scripting) ?
----------------------------------------------------

XSS adalah salah satu metode untuk mengeksploitasi suatu sistem . Kebanyakan
kesalahannya ada pada penulisan scripting pada halaman web tersebut yang
mengijinkan beberapa karakter tertentu dijalankan pada situs tersebut.
Dan pada artikel ini kita akan mengeksploitasi kesalahan scripting tersebut
guys......:)


Bagaimana cara eksploitasinya ?
-------------------------------------------

Metode eksploitasi yang dipaparkan disini adalah dengan cara memanipulasi
pemanggilan form atau menu yang ada pada halaman situs target. Biasanya
waktu kita masuk pada sebuah halaman web, yang pertama kita lihat pastilah
halaman utamanya atau menu utama dari situs tersebut. Di menu utama atau
halaman utama tersebut biasanya terdapat link-link untuk masuk ke halaman
yang lebih dalam. Untuk mengetahui apa yang akan dipanggil pada saat link
tersebut kita klik yaitu lihat di scroolbar yang ada dibawah pojok sebelah
kiri pada browser anda. Biasanya seperti ini :

http:///index.php?menu=

Setelah anda mengetahui apa yang akan ditampilkan jika kita mengklik link
tersebut, sekaranglah saatnya kita mulai bermain-main dengan XSS
(Cross Site Scripting).

Caranya yaitu :
-------------------
Ganti script yang ada dalam tanda "" menjadi

ME FouND BUG

.

Contoh :
----------
http:///index.php?menu="" <- situs asli
http:///index.php?menu=

ME FOUND BUG

. <- script yg telah diganti.

Apa yang akan terjadi jika kita merubahnya seperti diatas ??? Kira-kira logikanya seperti ini :

[+] Setiap kita membuka suatu halaman web, kita mengirimkan suatu permintaan kepada
server tersebut. Jika permintaan kita terdapat di server, maka browser akan
menampilkan halaman yang kita minta tersebut. Tetapi jika mengirimkan permintaan
dalam bentuk script apakah yang terjadi ????
Yang terjadi adalah server berusaha mencari permintaan kita, jika memang di server
tidak ada maka permintaan kita akan ditampilkan di browser kita.

Ada 2 kemungkinan yang pasti yaitu :
1. Script yg kita tambahkan akan ditampilkan dibrowser kita. <- Berarti kita berhasil.:)
[+] Jika kita sudah berhasil menampilkan tulisan , maka sekarang terserah kepada pembaca
mau diapakan situs tersebut :) OK.Banyak sekali metode XSS yang dapat kita praktekan di
internet ini, semuanya tergantung kepada kreatifitas masing-masing individu. :)

2. Script yg kita tambahkan tidak ditampilkan dibrowser. <- Berarti gagal.

Kenapa koq bisa gagal ??????
-------------------------------------------

Yang membuat kita gagal adalah karena situs tersebut sudah difilter atau dengan kata
lain, server tersebut sudah di setting agar tidak melayani permintaan yang mengandung
beberapa karakter seperti berikut :

Char ; / ? : @ = & < > “ #
Code %3b %2f %3f %3a %40 %3d %26 %3c %3e %22 %23

Char { } | \ ^ ~ [ ] ` % ‘
Code %7b %7d %7c %5c %5e %7e %5b %5d %60 %25 %27


Source: www.technicalinfo.net

Bookmark and Share



4 komentar :

Anonim mengatakan... [Reply to comment]

Your style is really unique compared to other folks I've read stuff from.
Thanks for posting when you have the opportunity, Guess I will just book mark this
blog.

Also visit my page cheap hotels north london

Anonim mengatakan... [Reply to comment]

Hey there! I know this is somewhat off-topic however I
needed to ask. Does building a well-established website such
as yours require a large amount of work? I'm brand new to writing a blog but I do write in my diary on a daily basis.
I'd like to start a blog so I can share my experience and thoughts online.
Please let me know if you have any suggestions or
tips for new aspiring blog owners. Appreciate it!


Also visit my blog :: best workout routine for men to build muscle

Anonim mengatakan... [Reply to comment]

Admiring the persistence you put into your website and detailed
information you present. It's awesome to come across
a blog every once in a while that isn't the same out of date rehashed information. Excellent read!
I've bookmarked your site and I'm including your RSS feeds to my Google account.


My homepage :: nike jersey online

Anonim mengatakan... [Reply to comment]

Great items from you, man. I've bear in mind your stuff
previous to and you're just too excellent. I really like what you've acquired
right here, really like what you are stating
and the best way through which you assert it.
You're making it enjoyable and you still take care of to keep
it sensible. I can not wait to learn much more from you.
This is really a wonderful website.

Also visit my blog :: http://bestwoocommercethemes.blogspot.com/2014/05/great-advice-about-wordpress-that.html

Posting Komentar

Silahkan tinggalkan komentar anda disini...

 
Ujie Caprone | © 2011 Blogger Template by Ujiecaprone.com