Simple Pacthing XSS_CMS Balitbang
23.43
Lagi ada Job bikin Site sekolah sama temen... ane jadi bagian design
sama fix" bug lah ( ga begitu bisa juga wkwkwk ) ,, ane coba pakek
Balitbang CMS , nah waktu di scan sama acunetix ane nemu XSS , nah terus
kaget tuh XSSnya beda, ga pernah nemu XSS kek gini ( kalo saya ) ga tau
kalo kalian dah pernah mungkin , saya cuman Share dikit buat
ngatasinya. :D
Pesan dari saya jangan pernah remehin XSS ,, Sebelumnya ada yang tau XSS ? mungkin dah pada tau, kalo yang belum saya mo jelasin dikit ya biar kalo yg belum tau bisa paham apa itu XSS :D
XSS bisa juga dikenal dengan singkatan Cross Site Scripting yang memanfaatkan / memasukan code/script HTML kedalam suatu web site dan dijalankan melalui browser di client.
Dan XSS sangat Rawan dan di bedakan dengan beberapa Jenis yaitu :
- Dengan memanfaatkan GET Method
Nah Cuman Segitu aja Penjelasan nya, langsung cara Fixx nya :D
Fixnya menurut saya mudah kok,, :
1. Scan dulu Webnya, jika sudah akan terlihat error XSS seperti ini :
Pesan dari saya jangan pernah remehin XSS ,, Sebelumnya ada yang tau XSS ? mungkin dah pada tau, kalo yang belum saya mo jelasin dikit ya biar kalo yg belum tau bisa paham apa itu XSS :D
XSS bisa juga dikenal dengan singkatan Cross Site Scripting yang memanfaatkan / memasukan code/script HTML kedalam suatu web site dan dijalankan melalui browser di client.
Dan XSS sangat Rawan dan di bedakan dengan beberapa Jenis yaitu :
- Dengan memanfaatkan GET Method
- Dengan memanfaatkan POST MethodSerangan XSS dengan memanfaatkan fasilitas GET di protokol HTTP, merupakan metode yang paling sering dilakukan. CMIIW
Metode ini memerlukan tingkatan keahlian lebih lanjut, karena
variabel POST dikirimkan terpisah dari URL website target, karenanya
penyerangan secara langsung menjadi tidak mungkin.
- Flash AttackDengan memanfaatkan active scripting pada aplikasi flash, XSS dapat disisipkan pada bagian signature dari aplikasi tertentu.
Nah Cuman Segitu aja Penjelasan nya, langsung cara Fixx nya :D
Fixnya menurut saya mudah kok,, :
1. Scan dulu Webnya, jika sudah akan terlihat error XSS seperti ini :
2. Jika sudah maka akan tampak tampilan Seperti ini :
3. Seperti gambar di atas, kita coba copy Link seperti no 2 ke browser, kita lihat apakah yg pesan yg muncul? . Bisa di liat Seperti ini yg muncul :
4. Buka file guru.php / file yg ada bug seperti itu dan seperti di pic no 2. Jika sudah di buka kita search kata" yg mendekati error tersebut, lihat di pic no 2, kita gunakan Ctrl+F dan cari kata <input type=text name="nama" .
5. Jika sudah ketemu, File tersebut sebenarnya seperti ini :
Dan jika di acunetix seperti ini :<input type=text name="nama" value="'.$nama.'" >
6. Cara perbaikinya, Hapus tanda kutip dua yg berada di value="'.$nama.'" , sehingga menjadi seperti value='.$nama.' .<input type=text name="nama" value="" onmouseover=prompt(990115) bad="" >
7. Save, kemudian buka di browser , dan lihat apa yang terjadi, Script tersebut tidak berjalan, dan hanya menghasilkan output text di search box. Terlihat Seperti ini :
8. Jadi mungkin itu hanya kesalahan dalam coding html / php ,, saya juga masih mencari apa sebenarnya kesalahan tersebut, dan mungkin jika ada yang tau, bisa di jelaskan :D
coz saya cuman share doank bug dan cara fixnya, Jika berguna Cendol , kalau tidak juga tidak apa-apa,, hahaha :D
0 komentar: