XSS Attack Tutorial

Assalamualaikum dan salam sejahtera....hari ini aq nk ajar korang XSS Attack!!sebelum tu  korang kene tau dulu apa itu XSS Attack.

XSS merupakan kependekan yang digunakan untuk istilah cross site scripting.
XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.(sumber : http://id.wikipedia.org/wiki/Xss)

Baiklah sekarang korang dah tau apa itu XSS.jom mula!

LANGKAH 1

Cari web vuln korang.Caranya dengan menggunakan google dork dibawah :

1. inurl:search.php?q=
2. inurl:com_feedpostold/feedpost.php?url=
3. inurl:scrapbook.php?id=
4. inurl:headersearch.php?sid=
5. inurl:/poll/default.asp?catid=
6. inurl:/search_results.php?search=
7. Inurl:/preaspjobboard//Employee/emp_login.asp?msg1=
8. inurl: /pages/match_report.php?mid= pages/match_report.php?mid=

Then pilih salah satu.Dalam tutorial ni kita akan guna
http://www.antaranews.com

LANGKAH 2

Sekarang kita akan menguji sama ada website tersebut vuln kepada XSS.Cara-caranya :


1. Mula-mula tengok pada search box di website tersebut.

Then kita cuba letakkan apa2 perkataan disitu dan search.Katakanlah kita search "hai admin".

2. Setelah search akan kelihatan perkataan "hai admin" yang kita search tadi seperti dibawah :

3. Sekarang kita akan cuba  memasukkan script untuk memeriksa sekiranya web ini vuln kepada XSS.Caranya kita akan memasukkan script html kedalam kotak search dan search

Script html : <marquee>hai admin</marquee>

Setelah search tulisan "hai admin" akan bergerak dari kana ke kiri.itu bermakna yg website ini vuln terhadap XSS!Rujuk gambar bawah:

Perkataan "hai admin" bergerak dari kanan ke kiri.

Anda boleh mencuba untuk menguji sesebuah website dengan kaedah ini.

4. Sekarang anda boleh lah mencuba untuk melakukan XSS Attack!Anda boleh memasukkan script untuk gambar, animation, dan macam2 lagi.Anda cuma perlu masukkan script anda itu kedalam kotak search dan tekan search.

note: untuk memasukkan banyak script serentak.anda perlu susun script anda mengikut urutan.

Baiklah jom kita lihat hasil yang saya dapat.Ianya seakan2 deface!!

Hasilnya :

XSS Deface 1

XSS Deface 2

XSS Deface 3

XSS Deface 4

XSS Deface 5

Baiklah itu sahaja step2 untuk XSS Attack.Aku ada sediakan 2 vuln website untuk anda mencuba!

vuln :

http://www.antaranews.com/
http://www.edumedia-share.com

http://visipix.dynalias.com

http://www.poscope.com

http://us.gateway.com/

http://www.president.al

http://lesko.com

Baiklah semoga korang berjaya!!Assalamualaikum....

Credit: Rea_Perz