Thursday 09 September 2010
[ home ] [ contents ] [ contact ] [ about ] [ friends ] [ links ] [ tools ] [ guestbook ] 
                __                           ________  ____ ________  _____  
  ____   _____ |__| ___________  ____   ____/   __   \/_   /   __   \/  |  | 
 /  _ \ /     \|  |/ ___\_  __ \/  _ \ /    \____    / |   \____    /   |  |_
(  <_> )  Y Y  \  \  \___|  | \(  <_> )   |  \ /    /  |   |  /    /    ^   /
 \____/|__|_|  /__|\___  >__|   \____/|___|  //____/   |___| /____/\____   | 
             \/        \/                  \/                           |__|


[ whats-xss ]

By omicron9194
[at] 2009-03-17

Cross Site Scripting atau yang lebih dikenal dengan XSS,sudah sangat banyak di bicarakan.XSS ? Apa itu? XSS adalah suatu cara memasukkan code / script HTML ke dalam suatu web site.Banyak web programmer yang tidak terlalu memperhatikan bahaya XSS, atau mungkin terlalu banyak kesalahan penulisan scripting pada halaman web sehingga mengizinkan beberapa karakter tertentu dijalankan pada situs tersebut.

Untuk lebih memahami XSS,perhatikan contoh berikut :



Site di atas mempunyai bug XSS.Untuk mengetahui apakah suatu site mempunyai bug XSS,tambahin :



Itu adalah salah satu script untuk melihat apakah suatu site mempunyai kelemahan XSS atau tidak.

Kembali ke contoh yang di atas,setelah memasukkan script tadi,maka akan muncul popup baru yang berisi xss found.Nah,dari sini kita mengetahui bahwa site tersebut mempunyai kelemahan XSS (keluarnya popup tadi).Selanjutnya kita bisa mengexploitasi site tersebut.

Karena Script HTML yang tadi kita tulis dapat berjalan maka hal ini lah yang disebut dengan XSS.Lalu apa hanya script HTML saja yang dapat di jalankan? Script yang bisa digunakan untuk XSS adalah HTML,JavaScript,VBScript,ActiveX,Flash.Tadi hanya menggunakan javaScript.

Dalam XSS ini,ada dua kemungkinan yang pasti,yaitu :

Pertama,script yang kita tambahkan,berjalan di browser kita <<<< berhasil
Jika kita sudah berhasil menampilkan tulisan,maka terserah mau diapakan site tersebut selama codenya masih bisa utk XSS.

Banyak sekali metode XSS yang dapat dilakukan,semua tergantung pada kreativitas masing-masing.Ternyata,XSS cukup bahaya,mengapa? Melalui XSS,kita bisa mencuri password >>> document.cookie

Kedua,script yang kita tambahkan tadi,tidak ditampilkan di browser <<<< gagal
Kenapa bisa gagal ?

Yang membuat kita gagal adalah karena situs tersebut sudah di filter, dengan kata lain server tersebut udah di setting agar tidak melayani permintaan yang mendukung beberapa karakter seperti berikut :

Char ; / ? : @ = & “ #
Code %3b %2f %3f %3a %40 %3d %26 %3c %3e %22 %23
Char { } | \ ^ ~ [ ] ` % ‘
Code %7b %7d %7c %5c %5e %7e %5b %5d %60 %25 %27

XSS merupakan pilihan yang menarik bagi newbie yang tidak mempunyai shell ato sploit,karena untuk melakukan XSS hanya membutuhkan browser!

XSS sering juga dikatakan sebagai "just for fun" , why ? Karena untuk melakukan XSS ini,hanya membutuhkan pengetahuan dasar HTML .
Jadi setiap orang dapat dengan mudah melakukan XSS ini


















your ip is 38.107.191.101
with CCBot/1.0 (+http://www.commoncrawl.org/bot.html)

omicron9194
send all submissions to omicron9194@yahoo.com
Copyright © 2010 omicron9194