Username Password

Lost Password
View Thread
Explore Your Brain » All About Security I.T » Black & White Proof of Concept
HTML Injection In Social Networking Site (POC For Dummies)
Username
Password
Register FAQ Members List Today's Posts Search

Print Thread

17-08-2009 08:52 AM HTML Injection In Social Networking S...
User Avatar

Aurel 666
Genin Senior


Posts: 75
Joined: 14.09.08
Location: Hell Awaits
Age: 37

Deprecated: Function eregi() is deprecated in /home/explnorg/public_html/includes/bbcodes/code_bbcode_include.php on line 24

Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in /home/explnorg/public_html/includes/bbcodes/code_bbcode_include.php on line 29
Intro.
---------------------
Ok. Sesuai dengan Judulnya, HTML Injection. kita akan bahas apa itu .
Html Injection adalah Injeksi kode HTML ke web server.
Kode HTML yg Di injeksikan tadi akan ditanggapi oleh web server dan merubahnya kedalam bentuk tampilan Visual. hal ini tidak beda jauh dengan XSS ( Cross Site Scripting ).

Seberapa bahayakah HTML Injection itu ???
Mungkin bagi sebagian kalangan Injeksi semacam ini tidak berbahaya, tp dibalik ini semua bug sekecil apapun jangan diremehkan. HAcker akan berusaha menggunakan celah kecil tersebut untuk mendapatkan apapun yg di inginkan. bukan sekedar injeksi kode HTML untuk merubah tampilan (deface).

salah satu contoh kasus yg baru2 saja terjadi akibat bug semacam ini adalah penulisan kode / command bot channel pada situs Twitter.


Concept
----------------------
Ok, sekarang tanpa banyak basa basi kita akan coba praktek. :D
(POC tanpa Praktek sama aja bohong kan) :D :D

Target kita sekarang adalah sebuah Situs layanan Social Networking http://www.ning.com/
layanan situs layanan social networking ini adalah sebuah layanan dimana anda bisa membuat suatu situs komunitas social, caranya emang praktis hanya tinggal registrasi saja dan situs pun sudah jadi...
yah, mirip sama layanan wordpress atau blogspot lah :D :D

ok, ga perlu panjang2 kita akan mencari situs2 social networking yg ada di bawah layanan http://www.ning.com/.

1. Buka Browser anda dan lansung sambangi paman Google
2. Masukan dork "inurl:"ning.com" (tanpa tanda petik)
3. maka dari hasil pencarian mbah google akan banyak keluar hasilnya...
misalnya. i379.photobucket.com/albums/oo232/h4ck3v1l/1-8.jpg
http://gustav08.ning.com/
http://knaanmusic.ning.com/
http://siviaholic.ning.com/

MAsuk Ke site tersebut. jangan lupa untuk masuk ke site tersebut, lo harus register dolo buat jadi member. :D
situs tester adalah : http://xcobax.ning.com

setelah jadi member kita akan mencoba injeksi hole dari situs ini yg berada pada comment wall nya / halaman komen.
pada kali ini sebagai tester gw akan coba menjeksikan perintah html <div buat nampilin gambar dan menutupi halaman koment dari profil tersebut.

kode injeksi
Download source  Code
<div style='top:0px;position:absolute;left:0px;width: 900px;height:1800px;background-color:#000000;color:#FFFF00;text-align: center;'><p>&#160;</p><img src='http://hosting-gambar.com/albums/nama-gambar-loe.jpg' width='1000'><p>&#160;</p>




perhatikan kode di atas, bagi yg udah ngerti html mungkin ga susah memahami, coz kode tersebut akan mencoba menampilkan gambar dari http://hosting-gambar.com/albums/nama-gambar-loe.jpg dengan ukuran background 1800px X 900px :D

setelah kode dimasukan kedalam komentar maka hasil yg didapat adalah :
web server akan menanggapi koment tersebut sebagai kode HTML dan mempertejemahkan kode2 tersebut menjadi bentuk tampilan ke end user / client.
hasil; dari tester akan menjadi seperti screenshoot dibawah ini
http://xcobax.ning.com/profile/Rey?xg...e=activity

i379.photobucket.com/albums/oo232/h4ck3v1l/2-4.jpg


End
--------------------
mungkin injeksi semacam ini tidak akan berarti / tidak berbahaya.....
tp coba pikirkan, dengan mengexploitasi lebih jauh, bug semacam ini bisa lebih berbahaya.
misalnya kita akan memasukan kode untuk meredirect pengguna ke situs palsu yg telah disiapkan oleh hacker (laen kali gw bahas tentang ini), atau bagi Virus maker bisa jadi tempat social enginering untuk menyebarkan Virus yg dibikinnya dengan kedok sebagai Plugins yg harus di instal.... dlb: dlb:

Nah sekian dolo POC nya.
Moga aja bermanfaat...OK


Best Regard


Aurel 666
 
Offline
17-08-2009 05:58 PM RE: HTML Injection In Social Networking S...
User Avatar

alpheen
Anbu


Posts: 460
Joined: 21.02.09
Location: AdrenalizeLand
Age: 27
Yuhuuuu, nice inpo
tp blom nyoba....
s19.postimg.org/m94ajwhcz/KICKALFIN.gif
 
Offline
17-08-2009 10:42 PM RE: HTML Injection In Social Networking S...
User Avatar

younuzes
Genin


Posts: 58
Joined: 05.12.08
Location: jakarta
Age: 27
weleh" ,, website besar tapi comment aja gk di filter..
 
Offline
19-08-2009 04:10 PM RE: HTML Injection In Social Networking S...
User Avatar

EVA-00
HackAge


Posts: 2768
Joined: 21.05.08
Location: Wallahu a'lam
Age: 33
Wah wah wah, programernya kurang Explore atau kurang pengalaman? Dor semoga bugnya cepet2 di tambel.
Nabi Muhammad SAW bersabda :” Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahui” (HR. Imam Ahmad).

..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
 
Offline
20-08-2009 12:36 AM RE: HTML Injection In Social Networking S...
User Avatar

udahjadi
Jounin Spesial


Posts: 220
Joined: 29.08.08
Location: JakTOWN®
Age: 39
wkwkwkwkwkwkw.....

parah bgt tuch... HAJAR trus...Peace
Newbie™
Merdeka Indonesia...Maju terus...!!!
jangan mau kalah dari negara lain !!!
 
Offline
12-09-2009 11:38 AM RE: HTML Injection In Social Networking S...
User Avatar

Aurel 666
Genin Senior


Posts: 75
Joined: 14.09.08
Location: Hell Awaits
Age: 37
udahjadi wrote:
wkwkwkwkwkwkw.....

parah bgt tuch... HAJAR trus...Peace


ya jgn di hajar lah...kacian
adminnya dah dikirimin surat cinta, tp sampe skr belom ke bls juga Ashamed
 
Offline
14-09-2009 04:03 AM RE: HTML Injection In Social Networking S...
User Avatar

C4N0N07
Chunnin Senior


Posts: 112
Joined: 24.03.09
Location: @t the Black Hole
Nice post bro.......
i842.photobucket.com/albums/zz342/C4N0N07/th_coba2.gif

Don't always hope things go as you desire

but face all happenings resolutely

so you heart is always safe
 
Offline
02-10-2009 03:18 AM RE: HTML Injection In Social Networking S...
User Avatar

zeetaken
Genin


Posts: 46
Joined: 10.01.09
Age: 31
great POC om aurell,....
wah, dah lama gak mampir ke XYB,... postnya mulai tambah sip2,......
slanjutnya,........ mhon bimbingan para suhu n master sekalian Doa
 
Offline
02-10-2009 10:44 PM RE: HTML Injection In Social Networking S...
User Avatar

letsmove
Murid Akademi II


Posts: 39
Joined: 13.07.09
oomm ini hampir sama kya ngedeface ga???
<hr>
 
Offline
05-10-2009 08:51 PM RE: HTML Injection In Social Networking S...
User Avatar

EVA-00
HackAge


Posts: 2768
Joined: 21.05.08
Location: Wallahu a'lam
Age: 33
@letsmove -> hehehe emang deface itu artinya apa bro?? nih ta gw comot dari total.or.id

"Deface Adalah melakukan perubahan pada halaman web pada situs-situs tertentu, biasanya aktifitas ini dilakukan oleh para hacker atau cracker dengan gerakan undergroundnya sebagai sebuah cyber gang fight untuk mengganggu informasi yang dimunculkan pada halaman situs yang dimaksud."

nah POC aurel666 diatas jika di injeksi akan mengakibatkan "perubahan halaman website sesuai code yg di injeksikan". (tapi ga full deface lho).
Nabi Muhammad SAW bersabda :” Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahui” (HR. Imam Ahmad).

..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
 
Offline
05-11-2009 12:48 AM RE: HTML Injection In Social Networking S...
User Avatar

ayam-kalkun
Anbu


Posts: 381
Joined: 20.05.09
Location: /etc/ExploreYourBrain
Age: 26
wah bahaya juga yah gara-gara bugs sekecil itu ajah ckckckckHuh
 
Offline
01-03-2010 03:53 AM RE: HTML Injection In Social Networking S...
User Avatar

tedasqie
Chunnin Senior


Posts: 100
Joined: 17.01.10
Aurel 666 wrote:
udahjadi wrote:
wkwkwkwkwkwkw.....

parah bgt tuch... HAJAR trus...Peace


ya jgn di hajar lah...kacian
adminnya dah dikirimin surat cinta, tp sampe skr belom ke bls juga Ashamed


blm smpet di repair mgkn tu bro..
tp boleh juga link nya djadiin bhan prcobaan dari newbie kya ane
 
Offline
01-03-2010 02:42 PM RE: HTML Injection In Social Networking S...
User Avatar

ysufv
Murid Akademi I


Posts: 13
Joined: 23.02.10
Yuhuu.. Keren nih Grin nice post kak aurel.. di friendster keknya bisa tuh (hayah balik ke jaman fs lg Pfft) buat top n left dijadiin 1000px, hehe.. Dlu sempat nyoba n ketutup dah comment2 nya
 
Offline
18-03-2011 03:31 AM RE: HTML Injection In Social Networking S...
User Avatar

davi jones
Murid Akademi I


Posts: 4
Joined: 18.03.11
makasih banyak gan Thanks
 
Offline
Jump to Forum:
Forum powered by fusionBoard
Share this Thread
URL:
BBcode:
HTML:
Similar Threads
Thread Forum Replies Last Post
Networking+ 100% iLLEGAL (EBOOK JASAKOM) E-Book 5 17-12-2014 05:45
HTML 5 E-Book 2 25-11-2011 20:20
Guitar For Dummies E-Book 3 01-11-2011 23:23
Snort For Dummies E-Book 1 05-09-2011 21:18
XML for Dummies 4th Edition E-Book 1 05-09-2011 20:56
Copyright © 2007-2016