-->

K.E ^_~ Yang lagi galau ini penawarnya link

Eksploitasi web server PHP dengan metode XSS (Cross Site Scripting)

Yang perlu dipersiapkan yaitu :
-------------------------------------------
1. Komputer yang terkoneksi dengan internet.
2. Rokok, kopi n cemilan.
3. Sedikit pengetahuan tentang XSS(Cross Site Scripting)

Artikel ini ditujukan kepada para newbie yang belum begitu mengerti apa itu XSS (Cross Site Scripting)kayak ane , tidak usah berpanjang kata kita mulai saja bahasan tentang XSS (Cross Site Scripting) ini.

Apakah itu XSS (Cross Site Scripting) ?
-------------------------------------------

XSS adalah salah satu metode untuk mengeksploitasi suatu sistem . Kebanyakan kesalahannya ada pada penulisan scripting pada halaman web tersebut yang mengijinkan beberapa karakter tertentu dijalankan pada situs tersebut. Dan pada artikel ini kita akan mengeksploitasi kesalahan scripting tersebut guys......:)

Bagaimana cara eksploitasinya ?
-------------------------------------------

Metode eksploitasi yang dipaparkan disini adalah dengan cara memanipulasi pemanggilan form atau menu yang ada pada halaman situs target. Biasanya waktu kita masuk pada sebuah halaman web, yang pertama kita lihat pastilah halaman utamanya atau menu utama dari situs tersebut. Di menu utama atau halaman utama tersebut biasanya terdapat link-link untuk masuk ke halaman yang lebih dalam. Untuk mengetahui apa yang akan dipanggil pada saat link tersebut kita klik yaitu lihat di scroolbar yang ada dibawah pojok sebelah kiri pada browser anda.

Biasanya seperti ini :
http:///index.php?menu=

Setelah anda mengetahui apa yang akan ditampilkan jika kita mengklik link tersebut, sekaranglah saatnya kita mulai bermain-main dengan XSS

(Cross Site Scripting).

Caranya yaitu :

-------------------
Ganti script yang ada dalam tanda "" menjadi <h1>ME FouND BUG</h1>..

Contoh :
----------

http:///index.php?menu="" <- situs asli http://<situs target>/index.php?menu=<h1>ME FOUND BUG</h1>. <- script yg telah diganti. 


Apa yang akan terjadi jika kita merubahnya seperti diatas ??? Kira-kira logikanya seperti ini : [+] Setiap kita membuka suatu halaman web, kita mengirimkan suatu permintaan kepada server tersebut. Jika permintaan kita terdapat di server, maka browser akan menampilkan halaman yang kita minta tersebut. Tetapi jika mengirimkan permintaan dalam bentuk script apakah yang terjadi ???? Yang terjadi adalah server berusaha mencari permintaan kita, jika memang di server tidak ada maka permintaan kita akan ditampilkan di browser kita. Ada 2 kemungkinan yang pasti yaitu : 1. Script yg kita tambahkan akan ditampilkan dibrowser kita. <- Berarti kita berhasil.:) [+] Jika kita sudah berhasil menampilkan tulisan , maka sekarang terserah kepada pembaca mau diapakan situs tersebut :) OK.Banyak sekali metode XSS yang dapat kita praktekan di internet ini, semuanya tergantung kepada kreatifitas masing-masing individu. :) 2. Script yg kita tambahkan tidak ditampilkan dibrowser. <- Berarti gagal. 

Kenapa koq bisa gagal ?????? 
------------------------------------------- 
Yang membuat kita gagal adalah karena situs tersebut sudah difilter atau dengan kata lain, server tersebut sudah di setting agar tidak melayani permintaan yang mengandung beberapa karakter seperti berikut : 

Char ; / ? : @ = & < > “ #
Code %3b %2f %3f %3a %40 %3d %26 %3c %3e %22 %23
Char { } | \ ^ ~ [ ] ` % ‘
Code %7b %7d %7c %5c %5e %7e %5b %5d %60 %25 %27

source: http://echo.or.id


Update Artikel dari Grup Klikedukasi di Facebook:
Penulis Artikel ini:
Haviz Vaisal 
| Blogger, Facebook

comment 0 komentar:

Poskan Komentar

Catatan:
Seluruh komentar yang masuk akan dimoderasi terlebih dahulu. Komentar yang berbau spam, kasar, menghina, seluruhnya yang bersifat menghancurkan bukan membangun tidak akan ditampilkan. Silahkan bertanya dan memberi pendapat dengan sopan dan sesuai aturan.

Anda diperbolehkan mempublikasikan ulang artikel ini, dengan syarat:
1. Mintalah izin dengan cara berkomentar di bawah artikel ini
2. Wajib menyertakan link ke artikel ini dan menyertakan nama penulis

 
© Klikedukasi 2008 - 2013 | Design by Panembahan Satyapradana | 170p3x