Thread subject: Explore Your Brain :: JASAKOM Kena CSRF...

Posted by massmissile on 04-06-2009 08:05
#1

WTF... Keren banget dah...
Code
http://jasakom.com/forum/viewtopic.php?f=112&t=9728&start=15&hilit=phpmyadmin




Bakalan ngirim kokis kesini...
Code
http://horor.xtgem.com/gue.gif%5b/img%5d



Posted by EVA-00 on 04-06-2009 16:07
#2

url password 'kue' nya apaan?? hihihi jadi pengen liat siapa aja yg udah kena...

oia buat temen-temen yang blm tau apa itu CSRF akan saya jelaskan sesingkat-singkatnya, CSRF (Cross Site Request Forgery) adalah salah satu vulnerability pada Web Applikasi yang bekerja dengan cara mengeksploitasi suatu task dari
sebuah Web dengan memanfaatkan Autentikasi yang dimiliki oleh korban.

bingung??? silahkan baca echo|zine, volume 6 issue 18 yang di tulis oleh L41n

btw bugnya Udah di patch sama jasakom blm ya??

Posted by cakill on 04-06-2009 18:27
#3

maap kakak..
/me kalo boleh tau...
apa ntuh semacem hacking juga???

mohon penjelasan kk..
/me masih nyubi

Posted by EVA-00 on 04-06-2009 22:26
#4

Hacking macemnya ada banyak bro, dan CSRF itu salah satunya. penjelasannya silahkan klik link ezine yg sebelumnya sudah saya post.

Posted by younuzes on 07-06-2009 02:19
#5

om Andri ...
gw dah nyoba CSRF di XYB ...
tepatnya di edit signature biar setiap orang yang ngeklik link gw di bakal ngerubah signature nya jadi yang gw pengen ... gw juga nyoba di chat form ...
tapi gk bisa ...
Automatic submitnya sih jalan...pas 2 detik di bakal ke redirect ke halaman actionnya ... tapi form nya jadi kosong lagi...jadi signature yang ketulis gk ada .... padahal klo gk pek automatic submit bisa ... ya normal lah kayak web laennya...

itu gimana om cara nyegahnya ... apa ada hubungannya dengan submit name di tiap submit button yang om buat ??apa di validasi dulu gitu om .. gak ngerti nih gw..

Posted by alpheen on 07-06-2009 03:05
#6

WoW:?cay? boleh nyoba nee....

Posted by younuzes on 07-06-2009 03:23
#7

kok nyoba ..? kan gw bilang gk bisa (kayaknya)....makanya gw pengen tahu cara pencegahannya...

Posted by EVA-00 on 08-06-2009 21:49
#8

younuzes wrote:
itu gimana om cara nyegahnya ... apa ada hubungannya dengan submit name di tiap submit button yang om buat ??apa di validasi dulu gitu om .. gak ngerti nih gw..


bukan lewat situ, tapi lewat cookies. setiap user yg udah login pasti dapet cookies kok. makanya seandainya kamu nyoba CSRF di xyb ya blm tentu bisa, karna saat user kena jebakan, situs ini mengecek, apakah cookiesnya user yang bersangkutan atau tidak???

kurang lebih begitu bro.

Posted by younuzes on 09-06-2009 04:20
#9

makin gk ngerti saya om....
maksud lewat cookies maca stealing cookies gitu..

jadi saya nyoba nya gini.....

gw ngebikin file yang sama dengan halaman edit signature...

tapi file tersebut sebelumnya gw edit supaya value dari signature tersebut jadi semau gw...trus actionnya juga gw ganti biar bisa jalan...trus di tambahin dengan automatic submit ..mirip kayak tutorial dari ezine yang om kasih,,,,

nah setelah semua sudah jalan .. misa saya upload file tersebut di hosting...lalu saya membuat link tipuan...yang mengarah ke file tersebut...sehingga tiap user xyb yang sudah login lalu di mengkli link yang saya buat ... dia bakal masuk ke halaman tadi..yang bakal ngerubah signaturenya dia.. tapinya dengan automatic submit dengan delay yang cepet...sypaya gk keliatan..walaupun agak mencurigakan banget...

tapi yang jadi masalah...ketika kita masuk ke halaman tersebut dan dalam 2 detik kita ke redirect ke halaman asli edit signature...gk ada perubahan sama sekali...
beda halnya ketika orang yang mengklik link tersebut secara sengaja menekan tombol submit..(tanpa menggunakan automatic submit.)

Posted by EVA-00 on 10-06-2009 21:51
#10

Saat user buka situs xyb dan login, Server XYB akan mengirimkan cookies dan session yang di simpen di direktori temp di komputer user, sampe sini paham kan...

nah saat user nge-klik "URL" yang lu buat, secara gak langsung, user merequest isi script, dan kebetulan script yg lu buat berfungsi untuk meng-update Signature

nah saat meng-update signature, session & cookie yang sebelumnya telah di download akan di cek (di bandingkan). apakah berasal dari Server XYB atau bukan, apakah User tersebut yang login atau bukan.

Jika iya, maka proses update akan di lakukan, tapi kalo bukan akan di redirect ke form input.

sampe sini paham gak bro?

Posted by younuzes on 11-06-2009 01:01
#11

ok saham saham...thanks om..

Posted by massmissile on 11-06-2009 19:20
#12

Aduh mav baru balez..Alhamdulillah bro, om t0m saat itu juga n hari itu juga keknya langsung ngepatch coz dia udah bilang semua cookiesnya udah diapus..Gw aja langsung ganti password buru2 waktu itu..Kampret tuh yang bikin, mungkin kalo gw yang kena sih ga apa tapi kalo tiba2 kek admin or moderator yang setingkat admin kek si t0m yang kena kan berabe..Bisa2 diacak dah Jasakom =_="

Segitu dulu brother..Btw yang udah kena salah satu nya om t0m sendiri..wkwkwwkwkwk..

Edited by massmissile on 11-06-2009 19:22

Posted by Cruz3N on 12-06-2009 03:29
#13

WAkakakakak... Rame banget... CSRF tuh kayak One Click To Jail yah? Hehehehehe... ASik banget kalo diterapin ke ADsense...

CMIIW

Posted by andi on 05-07-2009 05:39
#14

hem...
aku gak tau lagi ne,.,,tapi yang jelas informasinya sangat berguna,,
thanks ya ,,,
:?ate?

Posted by odiex on 23-08-2010 18:50
#15

thread menarik...... ninggalin jejak dulu deh.... ^_^