Copy Link
Add to Bookmark
Report

Echo Magazine Issue 08 Phile 0x011

eZine's profile picture
Published in 
Echo Magazine
 · 4 years ago

  



____________________ ___ ___ ________
\_ _____/\_ ___ \ / | \\_____ \
| __)_ / \ \// ~ \/ | \
| \\ \___\ Y / | \
/_______ / \______ /\___|_ /\_______ /
\/ \/ \/ \/


.OR.ID
ECHO-ZINE RELEASE
XX

Author: ->[mRt]<- YM : thundherbolth ||
Online @ www.echo.or.id :: http://ezine.echo.or.id


--EXPLOITASI WEB SERVER PHP DENGAN METODE XSS (Cross Site Scripting)---


Yang perlu dipersiapkan yaitu :
-------------------------------------------
1. Komputer yang terkoneksi dengan internet.
2. Rokok, kopi n cemilan.
3. Sedikit pengetahuan tentang XSS(Cross Site Scripting)



Artikel ini ditujukan kepada para newbie yang belum begitu mengerti apa
itu XSS (Cross Site Scripting), tidak usah berpanjang kata kita mulai saja
bahasan tentang XSS (Cross Site Scripting) ini.

Apakah itu XSS (Cross Site Scripting) ?
----------------------------------------------------

XSS adalah salah satu metode untuk mengeksploitasi suatu sistem . Kebanyakan
kesalahannya ada pada penulisan scripting pada halaman web tersebut yang
mengijinkan beberapa karakter tertentu dijalankan pada situs tersebut.
Dan pada artikel ini kita akan mengeksploitasi kesalahan scripting tersebut
guys......:)


Bagaimana cara eksploitasinya ?
-------------------------------------------

Metode eksploitasi yang dipaparkan disini adalah dengan cara memanipulasi
pemanggilan form atau menu yang ada pada halaman situs target. Biasanya
waktu kita masuk pada sebuah halaman web, yang pertama kita lihat pastilah
halaman utamanya atau menu utama dari situs tersebut. Di menu utama atau
halaman utama tersebut biasanya terdapat link-link untuk masuk ke halaman
yang lebih dalam. Untuk mengetahui apa yang akan dipanggil pada saat link
tersebut kita klik yaitu lihat di scroolbar yang ada dibawah pojok sebelah
kiri pada browser anda. Biasanya seperti ini :

http://<situs target>/index.php?menu=<hlmn yng akan ditampilkan jika menu diklik>

Setelah anda mengetahui apa yang akan ditampilkan jika kita mengklik link
tersebut, sekaranglah saatnya kita mulai bermain-main dengan XSS
(Cross Site Scripting).

Caranya yaitu :
-------------------
Ganti script yang ada dalam tanda "" menjadi <h1>ME FouND BUG</h1>.

Contoh :
----------
http://<situs target>/index.php?menu="<hlmn yng akan ditampilkan jika menu diklik>" <- situs asli
http://<situs target>/index.php?menu=<h1>ME FOUND BUG</h1>. <- script yg telah diganti.

Apa yang akan terjadi jika kita merubahnya seperti diatas ??? Kira-kira logikanya seperti ini :

[+] Setiap kita membuka suatu halaman web, kita mengirimkan suatu permintaan kepada
server tersebut. Jika permintaan kita terdapat di server, maka browser akan
menampilkan halaman yang kita minta tersebut. Tetapi jika mengirimkan permintaan
dalam bentuk script apakah yang terjadi ????
Yang terjadi adalah server berusaha mencari permintaan kita, jika memang di server
tidak ada maka permintaan kita akan ditampilkan di browser kita.

Ada 2 kemungkinan yang pasti yaitu :
1. Script yg kita tambahkan akan ditampilkan dibrowser kita. <- Berarti kita berhasil.:)
[+] Jika kita sudah berhasil menampilkan tulisan , maka sekarang terserah kepada pembaca
mau diapakan situs tersebut :) OK.Banyak sekali metode XSS yang dapat kita praktekan di
internet ini, semuanya tergantung kepada kreatifitas masing-masing individu. :)

2. Script yg kita tambahkan tidak ditampilkan dibrowser. <- Berarti gagal.

Kenapa koq bisa gagal ??????
-------------------------------------------

Yang membuat kita gagal adalah karena situs tersebut sudah difilter atau dengan kata
lain, server tersebut sudah di setting agar tidak melayani permintaan yang mengandung
beberapa karakter seperti berikut :

Char ; / ? : @ = & < > “ #
Code %3b %2f %3f %3a %40 %3d %26 %3c %3e %22 %23

Char { } | \ ^ ~ [ ] ` % ‘
Code %7b %7d %7c %5c %5e %7e %5b %5d %60 %25 %27


Beberapa situs yang dapat di XSS :
------------------------------------------------
[+] http://www.indocenter.co.id/bycategory.php?q=<h1>Hack%20n%20Defaced%20By%20->[mRt]<-</h1>
[+] http://www.sundanet.com/index.php?menu=<h1>Hack%20n%20Deface%20by%20->[mRt]<-</h1>

Sedangkan situs yang laen dapat dicari di Paman Google :P :)



REFERENSI :
- Seni Internet Hacking by : S'to.
- http://www.technicalinfo.net/
- http://www.google.com/

Special greetz to:
- echo staff
- Blackhat and Kanedrew yang memberi aku inspirasi untuk membuat artikel ini.
- yusak
- r13
- drake_max
- uukkyu

kirimkan kritik, saran & cacian kamu ke => martin_csk@yahoo.com

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

guest's profile picture
@guest
12 Nov 2024
It is very remarkable that the period of Atlantis’s destruction, which occurred due to earthquakes and cataclysms, coincides with what is co ...

guest's profile picture
@guest
12 Nov 2024
Plato learned the legend through his older cousin named Critias, who, in turn, had acquired information about the mythical lost continent fr ...

guest's profile picture
@guest
10 Nov 2024
الاسم : جابر حسين الناصح - السن :٤٢سنه - الموقف من التجنيد : ادي الخدمه - خبره عشرين سنه منهم عشر سنوات في كبرى الشركات بالسعوديه وعشر سنوات ...

lostcivilizations's profile picture
Lost Civilizations (@lostcivilizations)
6 Nov 2024
Thank you! I've corrected the date in the article. However, some websites list January 1980 as the date of death.

guest's profile picture
@guest
5 Nov 2024
Crespi died i april 1982, not january 1980.

guest's profile picture
@guest
4 Nov 2024
In 1955, the explorer Thor Heyerdahl managed to erect a Moai in eighteen days, with the help of twelve natives and using only logs and stone ...

guest's profile picture
@guest
4 Nov 2024
For what unknown reason did our distant ancestors dot much of the surface of the then-known lands with those large stones? Why are such cons ...

guest's profile picture
@guest
4 Nov 2024
The real pyramid mania exploded in 1830. A certain John Taylor, who had never visited them but relied on some measurements made by Colonel H ...

guest's profile picture
@guest
4 Nov 2024
Even with all the modern technologies available to us, structures like the Great Pyramid of Cheops could only be built today with immense di ...

lostcivilizations's profile picture
Lost Civilizations (@lostcivilizations)
2 Nov 2024
In Sardinia, there is a legend known as the Legend of Tirrenide. Thousands of years ago, there was a continent called Tirrenide. It was a l ...
Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT