17-08-2009 01:52 AM |
HTML Injection In Social Networking S... |

Aurel 666 Genin Senior

Posts: 75
Joined: 14.09.08
Location: Hell Awaits
Age: 42
|
Intro.
---------------------
Ok. Sesuai dengan Judulnya, HTML Injection. kita akan bahas apa itu .
Html Injection adalah Injeksi kode HTML ke web server.
Kode HTML yg Di injeksikan tadi akan ditanggapi oleh web server dan merubahnya kedalam bentuk tampilan Visual. hal ini tidak beda jauh dengan XSS ( Cross Site Scripting ).
Seberapa bahayakah HTML Injection itu ???
Mungkin bagi sebagian kalangan Injeksi semacam ini tidak berbahaya, tp dibalik ini semua bug sekecil apapun jangan diremehkan. HAcker akan berusaha menggunakan celah kecil tersebut untuk mendapatkan apapun yg di inginkan. bukan sekedar injeksi kode HTML untuk merubah tampilan (deface).
salah satu contoh kasus yg baru2 saja terjadi akibat bug semacam ini adalah penulisan kode / command bot channel pada situs Twitter.
Concept
----------------------
Ok, sekarang tanpa banyak basa basi kita akan coba praktek. :D
(POC tanpa Praktek sama aja bohong kan) :D :D
Target kita sekarang adalah sebuah Situs layanan Social Networking http://www.ning.com/
layanan situs layanan social networking ini adalah sebuah layanan dimana anda bisa membuat suatu situs komunitas social, caranya emang praktis hanya tinggal registrasi saja dan situs pun sudah jadi...
yah, mirip sama layanan wordpress atau blogspot lah :D :D
ok, ga perlu panjang2 kita akan mencari situs2 social networking yg ada di bawah layanan http://www.ning.com/.
1. Buka Browser anda dan lansung sambangi paman Google
2. Masukan dork "inurl:"ning.com" (tanpa tanda petik)
3. maka dari hasil pencarian mbah google akan banyak keluar hasilnya...
misalnya. 
http://gustav08.ning.com/
http://knaanmusic.ning.com/
http://siviaholic.ning.com/
MAsuk Ke site tersebut. jangan lupa untuk masuk ke site tersebut, lo harus register dolo buat jadi member. :D
situs tester adalah : http://xcobax.ning.com
setelah jadi member kita akan mencoba injeksi hole dari situs ini yg berada pada comment wall nya / halaman komen.
pada kali ini sebagai tester gw akan coba menjeksikan perintah html <div buat nampilin gambar dan menutupi halaman koment dari profil tersebut.
kode injeksi
Code<div style='top:0px;position:absolute;left:0px;width: 900px;height:1800px;background-color:#000000;color:#FFFF00;text-align: center;'><p> </p><img src='http://hosting-gambar.com/albums/nama-gambar-loe.jpg' width='1000'><p> </p>
perhatikan kode di atas, bagi yg udah ngerti html mungkin ga susah memahami, coz kode tersebut akan mencoba menampilkan gambar dari http://hosting-gambar.com/albums/nama-gambar-loe.jpg dengan ukuran background 1800px X 900px :D
setelah kode dimasukan kedalam komentar maka hasil yg didapat adalah :
web server akan menanggapi koment tersebut sebagai kode HTML dan mempertejemahkan kode2 tersebut menjadi bentuk tampilan ke end user / client.
hasil; dari tester akan menjadi seperti screenshoot dibawah ini
http://xcobax.ning.com/profile/Rey?xg...e=activity

End
--------------------
mungkin injeksi semacam ini tidak akan berarti / tidak berbahaya.....
tp coba pikirkan, dengan mengexploitasi lebih jauh, bug semacam ini bisa lebih berbahaya.
misalnya kita akan memasukan kode untuk meredirect pengguna ke situs palsu yg telah disiapkan oleh hacker (laen kali gw bahas tentang ini), atau bagi Virus maker bisa jadi tempat social enginering untuk menyebarkan Virus yg dibikinnya dengan kedok sebagai Plugins yg harus di instal.... dlb: dlb:
Nah sekian dolo POC nya.
Moga aja bermanfaat...OK
Best Regard
Aurel 666 |
|
|
|
17-08-2009 10:58 AM |
RE:
HTML Injection In Social Networking S... |
.gif)
alpheen Anbu

Posts: 460
Joined: 21.02.09
Age: 33
|
Yuhuuuu, nice inpo
tp blom nyoba.... |
|
|
|
17-08-2009 03:42 PM |
RE:
HTML Injection In Social Networking S... |

younuzes Genin

Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
|
weleh" ,, website besar tapi comment aja gk di filter.. |
|
|
|
19-08-2009 09:10 AM |
RE:
HTML Injection In Social Networking S... |

EVA-00 HackAge

Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 39
|
Wah wah wah, programernya kurang Explore atau kurang pengalaman? semoga bugnya cepet2 di tambel.
Nabi Muhammad SAW bersabda :” Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahui” (HR. Imam Ahmad).
..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
|
|
|
|
19-08-2009 05:36 PM |
RE:
HTML Injection In Social Networking S... |

udahjadi Jounin Spesial

Posts: 220
Joined: 28.08.08
Location: JakTOWN®
Age: 45
|
wkwkwkwkwkwkw.....
parah bgt tuch... HAJAR trus...
Newbie™
Merdeka Indonesia...Maju terus...!!!
jangan mau kalah dari negara lain !!! |
|
|
|
12-09-2009 04:38 AM |
RE:
HTML Injection In Social Networking S... |

Aurel 666 Genin Senior

Posts: 75
Joined: 14.09.08
Location: Hell Awaits
Age: 42
|
udahjadi wrote:
wkwkwkwkwkwkw.....
parah bgt tuch... HAJAR trus... 
ya jgn di hajar lah...kacian
adminnya dah dikirimin surat cinta, tp sampe skr belom ke bls juga  |
|
|
|
13-09-2009 09:03 PM |
RE:
HTML Injection In Social Networking S... |

C4N0N07 Chunnin Senior

Posts: 112
Joined: 23.03.09
Location: @t the Black Hole
|
Nice post bro.......
Don't always hope things go as you desire
but face all happenings resolutely
so you heart is always safe |
|
|
|
01-10-2009 08:18 PM |
RE:
HTML Injection In Social Networking S... |

zeetaken Genin

Posts: 46
Joined: 10.01.09
Age: 36
|
great POC om aurell,....
wah, dah lama gak mampir ke XYB,... postnya mulai tambah sip2,......
slanjutnya,........ mhon bimbingan para suhu n master sekalian  |
|
|
|
02-10-2009 03:44 PM |
RE:
HTML Injection In Social Networking S... |

letsmove Murid Akademi II

Posts: 39
Joined: 13.07.09
|
oomm ini hampir sama kya ngedeface ga???
<hr> |
|
|
|
05-10-2009 01:51 PM |
RE:
HTML Injection In Social Networking S... |

EVA-00 HackAge

Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 39
|
@letsmove -> hehehe emang deface itu artinya apa bro?? nih ta gw comot dari total.or.id
"Deface Adalah melakukan perubahan pada halaman web pada situs-situs tertentu, biasanya aktifitas ini dilakukan oleh para hacker atau cracker dengan gerakan undergroundnya sebagai sebuah cyber gang fight untuk mengganggu informasi yang dimunculkan pada halaman situs yang dimaksud."
nah POC aurel666 diatas jika di injeksi akan mengakibatkan "perubahan halaman website sesuai code yg di injeksikan". (tapi ga full deface lho).
Nabi Muhammad SAW bersabda :” Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahui” (HR. Imam Ahmad).
..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
|
|
|
|
04-11-2009 05:48 PM |
RE:
HTML Injection In Social Networking S... |
.gif)
ayam-kalkun Anbu

Posts: 380
Joined: 20.05.09
Location: /etc/ExploreYourBrain
Age: 31
|
wah bahaya juga yah gara-gara bugs sekecil itu ajah ckckckck |
|
|
|
28-02-2010 08:53 PM |
RE:
HTML Injection In Social Networking S... |
.gif)
tedasqie Chunnin Senior

Posts: 100
Joined: 17.01.10
|
Aurel 666 wrote:
udahjadi wrote:
wkwkwkwkwkwkw.....
parah bgt tuch... HAJAR trus... 
ya jgn di hajar lah...kacian
adminnya dah dikirimin surat cinta, tp sampe skr belom ke bls juga 
blm smpet di repair mgkn tu bro..
tp boleh juga link nya djadiin bhan prcobaan dari newbie kya ane |
|
|
|
01-03-2010 07:42 AM |
RE:
HTML Injection In Social Networking S... |

ysufv Murid Akademi I

Posts: 13
Joined: 22.02.10
|
Yuhuu.. Keren nih nice post kak aurel.. di friendster keknya bisa tuh (hayah balik ke jaman fs lg ) buat top n left dijadiin 1000px, hehe.. Dlu sempat nyoba n ketutup dah comment2 nya |
|
|
|
17-03-2011 08:31 PM |
RE:
HTML Injection In Social Networking S... |
.gif)
davi jones Murid Akademi I

Posts: 4
Joined: 17.03.11
|
makasih banyak gan  |
|
|