Deface tanpa merusak situs, apa bisa? Mungkin judul ini pernah dibahas oleh teman-teman
underground yang pernah menerbitkan magazinenya. Menurut saya, namanya deface pasti merusak,
karna deface mengganti tampilan situs dengan gambar yang di sisipkan. Mungkin saja terjadi tapi
hanya pada sisi client.
Saya akan mencoba melakukan deface tanpa merusak situs pada web yang sebelumnya diinstal di
localhost. (website yang saya buat sendiri untuk melakukan demo ini dengan menggunakan aplikasi
XAMPP) bila teman-teman ingin membuat, buat saja dengan XAMPP.
Saya menginstal pada folder yang bernama pentest pada XAMPP.
Buka http://localhost/pentest/ lalu lihat pada bagian bawah terdapat form search. Coba msukan syntax
html di bagian sana (kolom search). Untuk lebih simple, masukan saja syntax alert seperti
<script>alert(‘hello’)</script> lalu klik tombol search.
Browser berhasil menampilkan alert yang bertuliskan hello.berarti terdapat vuln pada source search
tersebut.
Vuln XSS tersebut merupakan type yang kedua, yaitu:
Xss yang tidak berlanjut atau non-persistence. Penyerang umumnya memanfaatkan form atau metode
GET yang ada dalam protokol HTTP. Kode “disuntikan” melalui URL yang di jalankan di address bar
browser tersebut. Kode yang di suntikan tidak disimpan dalam database sehingga XSS yang di jalankan
tidak bersifat lanjutan karena korban harus mengikuti URL yang terinfeksi atau melakukan instruksi
yang ada untuk membuka XSS.
Sekarang saya akan memberikan tampilan gambar dengan syntax <img src=”url gambar”>.
Misalnya, saya akan menampilkan gambar google. Cari image location dari gambar google tersebut.
Saya akan memasukan syntax <img src=”http://www.google.co.id/intl/id_id/images/logo.gif”> tanda
halaman pencarian seperti gambar di bawah ini.
Tampilan yang akan muncul adalah sebagai berikut.
Gambar yang di tampilkan adalah gambar google, karna attacker menginjectkan kode html yaitu <img
src=”http://www.google.co.id/intl/id_id/images/logo.gif”> kesalah satu form yang memiliki vuln XSS.
Anda dapat mencobanya dengan syntax-syntax yang lain, atau melihat di http://ha.ckers.org/xss.html.
Sekian tulisan yang saya buat ini semoga di terima oleh staff X-code(amien....) dan semoga tulisan
saya ini bermanfaat buat teman-teman yang membacanya .dan bagi yang sudah tahu maaf kalau repost
dan tidak bermanfaat :P
Thanks to : ALLAH SWT yang memberikan rahmatnya kepadaku dan kepada
xcode,codenesia,EcHo,indonesiancoderteam,hackerscenter dan serta teman-teman beserta forum yang
tidak bisa saya sebutkan satu persatu keep sharing dan terus belajar dan jangan pelit mengajarkan ilmu
yang kamu ketahui kepada orang lain,hehehehe.... ~('.'~) ~('.' )~ ~( '.')~ (~'.')~
Wassalum’alaikum wr.wb