XSS

apa itu XSS?
XSS adalan cross site Scripting ,jangan sampai tertukar dengan CSS,jika kalian mengenal HTML mungkin kalian mengenal CSS yang kepanjangan dari Cascading style Sheets ,file CSS yang berisi format untuk mengatur tampilan dalam sebuah situs.berbeda dengan XSS ,XSS adalah teknik memasukan atau istilah nya men-injeksi code-code HTML kedalam sebuah situs yang memiliki kelamahan ini,setelah Situs yang memiliki kelemahan ini ditemukan,seorang hacker bisa memasukan code-code yang di masukan lewat Text field,seperti Guestbook,shoutbox,bahkan Form login. serangan XSS bisa berupa defacement (mengganti sebagian atau seluruhnya halaman depan situs),malicious code, dan Cookieloggers.

Bagaimana cara kita menemukan situs yang memiliki kelemahan XSS atau istilah nya yang vulnerable?

dari google kita bisa mencari situs yang memiliki guestbook,sebagian situs yang memiliki guestbook bisa kita sisipi dengan code yang kalau kita enter bisa di jalankan situs tersebut.

masukan kata kunci sebagai berikut di hamalan google dan mulai mencari:

inurl:.com/guestbook

atau tanpa inurl pun gpp,..arti perintah di atas artinya kita mencari halaman website yang memiliki alamat .com/guestbook

setelah keluar hasil pencarian lalu mulai pilih satu website dan mulai ke step berikut nya

Bagaimana cara mengetes suatu situs yang meiliki kelemahan XSS?

untuk me-ngetes situs tersebut vulnerable atau tidak kita masukan code pop-up window di bagian text field nya,bisa di bagian guestbook ,atau di kotak search situs tersebut ,atau dimanapun yang bisa kita masukan text(text field)

masukan code berikut :
Code:



;



kalau setelah di enter keluar pop up dan berisi tulisan "XSS" maka situs tersebut bisa kita serang dengan XSS menggunakan code2 yang lebih merusak.
banyak sekali code-code yang bisa kita sisipi dibawah ini adalah beberapa di antaranya,
Bagaimana cara nge-exploit situs yang memiliki vulnerable XSS?

selanjutnya setelah di tes memiliki kelemahan

kalian bisa melakukan beberapa hacking attemp berikut :

Defacement

di situs yang memiliki kelemahan XSS ,kamu bisa menjalankan hampir semua perintah code html atau javascript yang disisipkan kedalam text field seperti guestbook .masukan code ke dalam kotak username (karena beberapa situs mem-block bagian comment atau message untuk bisa menjalankan javascript dan html).jika guuestbook harus menyertakan image verification/captcha sertakan saja atau isi saja captcha nya,kalau diminta isikan email ,isikan email palsu .lalu submit atau enter
beberapa daftar serangan dan apa yang bisa kalian lakukan

Memasang Gambar kamu sebagai defacement
Code:



Redirect ke gambar kamu
Code:


Pop-up gambar kamu
Code:


Menambahkan video atau flash
Code:


Mencuri cookies
Code:


jika kamu sisipkan code di atas di text field suatu situs (termasuk Search bar),kamu bisa mencuri login information dari situs tersebut.namun kamu harus memiliki cookie editor untuk bisa menggunakan cookie yang tercuri,kamu bisa mendapatkan cookie editor untuk addon firefox disini

atau alternatif lain kamu bisa membuat cookie logger
Code:


tulis code tersebut dalam sebuah file dan beri extention .php,caranya buka notepad lalu copy paste code tersebut dan save dengan nama cookielogger lalu diberi extention .php bukan .txt,menjadi cookielogger.php

lalu buat file lagi menggunakan notepad dan beri nama cookies.txt dan biarkan kosong (file ini untuk hasil cookie dimana hasil tersebut akan tertulis difile ini)

upload kedua file tersebut di media hosting yang support php seperti ripway.com,000webhost.com dll,dalam satu folder

lalu sisipkan code ini dalam situs yang memiliki kelemahan XSS
Code:


atau
Code:


setelah memasukan code tersebut cookie akan tertulis di dalam cookies.txt kalian yang telah di hosting di media host kalian,log in ke media host lalu buka cookies.txt nya dan happy hunting,.
.
maaff law ada kesalahan aneee newwbiee :P