Saturday, October 6, 2012

Pacthing XSS_CMS Balitbang

Just to know.. Postingan saya ini mungkin sangat simple ,, Sebenernya ini udah dari dulu, waktu itu saya posting di Forum Sebelah, Yaudah tak share sini mungkin bermanfaat, dan mungkin ada yang pernah ngalamin nya..

Lagi ada Job bikin Site sekolah sama temen waktu minggu" kemarin... ane jadi bagian design sama fix" bug lah ( ga begitu bisa juga wkwkwk, yang bisa aja wkwkwk ) ,, ane coba pakek Balitbang CMS , nah waktu di scan sama acunetix ane nemu XSS , nah terus kaget tuh XSSnya beda, ga pernah nemu XSS kek gini ( kalo saya, maklum masih newbie ) ga tau kalo kalian dah pernah mungkin , saya cuman Share dikit buat ngatasinya. :D
Pesan dari saya jangan pernah remehin XSS ,, Sebelumnya ada yang tau XSS ? mungkin dah pada tau, kalo yang belum saya mo jelasin dikit ya biar kalo yg belum tau bisa paham apa itu XSS :D


XSS bisa juga dikenal dengan singkatan Cross Site Scripting yang memanfaatkan / memasukan code/script HTML kedalam suatu web site dan dijalankan melalui browser di client.
Dan XSS sangat Rawan dan di bedakan dengan beberapa Jenis yaitu :

- Dengan memanfaatkan GET Method
Serangan XSS dengan memanfaatkan fasilitas GET di protokol HTTP, merupakan metode yang paling sering dilakukan. CMIIW

- Dengan memanfaatkan POST Method
Metode ini memerlukan tingkatan keahlian lebih lanjut, karena variabel POST dikirimkan terpisah dari URL website target, karenanya penyerangan secara langsung menjadi tidak mungkin.

- Flash Attack
Dengan memanfaatkan active scripting pada aplikasi flash, XSS dapat disisipkan pada bagian signature dari aplikasi tertentu.


Nah Cuman Segitu aja Penjelasan nya, langsung cara Fixx nya :D
Fixnya menurut saya mudah kok,, :

1. Scan dulu Webnya, jika sudah akan terlihat error XSS seperti ini :
[Image: 1.png]

Terlihat di situ yg no.1 adalah error XSS lalu klik salah satu error itu , kemudian seperti no.2 launch the attack with http editor.

2. Jika sudah maka akan tampak tampilan Seperti ini :
[Image: 2.png]

Penjelasan: Kita akan buka terlebih dahulu file guru.php dimana terdapat error yg terlihat seperti di no.3 , dan kita akan melihat bagaimana sih error yg nampak,, ;)

3. Seperti gambar di atas, kita coba copy Link seperti no 2 ke browser, kita lihat apakah yg pesan yg muncul? . Bisa di liat Seperti ini yg muncul :
[Image: 3.png]

Nah Seperti itu Errornya.. kita lanjut ke permasalahan nya untuk memperbaiki itu.

4. Buka file guru.php / file yg ada bug seperti itu dan seperti di pic no 2. Jika sudah di buka kita search kata" yg mendekati error tersebut, lihat di pic no 2, kita gunakan Ctrl+F dan cari kata

5. Jika sudah ketemu, File tersebut sebenarnya seperti ini :


Dan jika di acunetix seperti ini :

nmouseover=prompt(990115) bad="" >

6. Cara perbaikinya, Hapus tanda kutip dua yg berada di value="'.$nama.'" , sehingga menjadi seperti value='.$nama.'

7. Save, kemudian buka di browser , dan lihat apa yang terjadi, Script tersebut tidak berjalan, dan hanya menghasilkan output text di search box. Terlihat Seperti ini :
[Image: 4.png]

8. Jadi mungkin itu hanya kesalahan dalam coding html / php ,, saya juga masih mencari apa sebenarnya kesalahan tersebut, dan mungkin jika ada yang tau, bisa di jelaskan :D
coz saya cuman share doank bug dan cara fixnya, Jika berguna Cendol , kalau tidak juga tidak apa-apa,, ngehahahahaha

Created By Syndrom2211 HN

No comments:

Template by : mhiman@ hacker-newbie.org