Thread subject: Explore Your Brain :: HTML Injection In Social Networking Site (POC For Dummies)

Posted by Aurel 666 on 17-08-2009 08:52
#1

Intro.
---------------------
Ok. Sesuai dengan Judulnya, HTML Injection. kita akan bahas apa itu .
Html Injection adalah Injeksi kode HTML ke web server.
Kode HTML yg Di injeksikan tadi akan ditanggapi oleh web server dan merubahnya kedalam bentuk tampilan Visual. hal ini tidak beda jauh dengan XSS ( Cross Site Scripting ).

Seberapa bahayakah HTML Injection itu ???
Mungkin bagi sebagian kalangan Injeksi semacam ini tidak berbahaya, tp dibalik ini semua bug sekecil apapun jangan diremehkan. HAcker akan berusaha menggunakan celah kecil tersebut untuk mendapatkan apapun yg di inginkan. bukan sekedar injeksi kode HTML untuk merubah tampilan (deface).

salah satu contoh kasus yg baru2 saja terjadi akibat bug semacam ini adalah penulisan kode / command bot channel pada situs Twitter.


Concept
----------------------
Ok, sekarang tanpa banyak basa basi kita akan coba praktek. :D
(POC tanpa Praktek sama aja bohong kan) :D :D

Target kita sekarang adalah sebuah Situs layanan Social Networking http://www.ning.com/
layanan situs layanan social networking ini adalah sebuah layanan dimana anda bisa membuat suatu situs komunitas social, caranya emang praktis hanya tinggal registrasi saja dan situs pun sudah jadi...
yah, mirip sama layanan wordpress atau blogspot lah :D :D

ok, ga perlu panjang2 kita akan mencari situs2 social networking yg ada di bawah layanan http://www.ning.com/.

1. Buka Browser anda dan lansung sambangi paman Google
2. Masukan dork "inurl:"ning.com" (tanpa tanda petik)
3. maka dari hasil pencarian mbah google akan banyak keluar hasilnya...
misalnya. i379.photobucket.com/albums/oo232/h4ck3v1l/1-8.jpg
http://gustav08.ning.com/
http://knaanmusic.ning.com/
http://siviaholic.ning.com/

MAsuk Ke site tersebut. jangan lupa untuk masuk ke site tersebut, lo harus register dolo buat jadi member. :D
situs tester adalah : http://xcobax.ning.com

setelah jadi member kita akan mencoba injeksi hole dari situs ini yg berada pada comment wall nya / halaman komen.
pada kali ini sebagai tester gw akan coba menjeksikan perintah html <div buat nampilin gambar dan menutupi halaman koment dari profil tersebut.

kode injeksi
Code
<div style='top:0px;position:absolute;left:0px;width: 900px;height:1800px;background-color:#000000;color:#FFFF00;text-align: center;'><p>&#160;</p><img src='http://hosting-gambar.com/albums/nama-gambar-loe.jpg' width='1000'><p>&#160;</p>




perhatikan kode di atas, bagi yg udah ngerti html mungkin ga susah memahami, coz kode tersebut akan mencoba menampilkan gambar dari http://hosting-gambar.com/albums/nama-gambar-loe.jpg dengan ukuran background 1800px X 900px :D

setelah kode dimasukan kedalam komentar maka hasil yg didapat adalah :
web server akan menanggapi koment tersebut sebagai kode HTML dan mempertejemahkan kode2 tersebut menjadi bentuk tampilan ke end user / client.
hasil; dari tester akan menjadi seperti screenshoot dibawah ini
http://xcobax.ning.com/profile/Rey?xg...e=activity

i379.photobucket.com/albums/oo232/h4ck3v1l/2-4.jpg


End
--------------------
mungkin injeksi semacam ini tidak akan berarti / tidak berbahaya.....
tp coba pikirkan, dengan mengexploitasi lebih jauh, bug semacam ini bisa lebih berbahaya.
misalnya kita akan memasukan kode untuk meredirect pengguna ke situs palsu yg telah disiapkan oleh hacker (laen kali gw bahas tentang ini), atau bagi Virus maker bisa jadi tempat social enginering untuk menyebarkan Virus yg dibikinnya dengan kedok sebagai Plugins yg harus di instal.... dlb: dlb:

Nah sekian dolo POC nya.
Moga aja bermanfaat...OK


Best Regard


Aurel 666

Posted by alpheen on 17-08-2009 17:58
#2

Yuhuuuu, nice inpo
tp blom nyoba....

Posted by younuzes on 17-08-2009 22:42
#3

weleh" ,, website besar tapi comment aja gk di filter..

Posted by EVA-00 on 19-08-2009 16:10
#4

Wah wah wah, programernya kurang Explore atau kurang pengalaman? :?dor? semoga bugnya cepet2 di tambel.

Posted by udahjadi on 20-08-2009 00:36
#5

wkwkwkwkwkwkw.....

parah bgt tuch... HAJAR trus...p):

Posted by Aurel 666 on 12-09-2009 11:38
#6

udahjadi wrote:
wkwkwkwkwkwkw.....

parah bgt tuch... HAJAR trus...p):


ya jgn di hajar lah...kacian
adminnya dah dikirimin surat cinta, tp sampe skr belom ke bls juga :ash

Posted by C4N0N07 on 14-09-2009 04:03
#7

Nice post bro.......

Posted by zeetaken on 02-10-2009 03:18
#8

great POC om aurell,....
wah, dah lama gak mampir ke XYB,... postnya mulai tambah sip2,......
slanjutnya,........ mhon bimbingan para suhu n master sekalian :?doa?

Posted by letsmove on 02-10-2009 22:44
#9

oomm ini hampir sama kya ngedeface ga???
<hr>

Posted by EVA-00 on 05-10-2009 20:51
#10

@letsmove -> hehehe emang deface itu artinya apa bro?? nih ta gw comot dari total.or.id

"Deface Adalah melakukan perubahan pada halaman web pada situs-situs tertentu, biasanya aktifitas ini dilakukan oleh para hacker atau cracker dengan gerakan undergroundnya sebagai sebuah cyber gang fight untuk mengganggu informasi yang dimunculkan pada halaman situs yang dimaksud."

nah POC aurel666 diatas jika di injeksi akan mengakibatkan "perubahan halaman website sesuai code yg di injeksikan". (tapi ga full deface lho).

Posted by ayam-kalkun on 05-11-2009 00:48
#11

wah bahaya juga yah gara-gara bugs sekecil itu ajah ckckckck:?huh?

Posted by tedasqie on 01-03-2010 03:53
#12

Aurel 666 wrote:
udahjadi wrote:
wkwkwkwkwkwkw.....

parah bgt tuch... HAJAR trus...p):


ya jgn di hajar lah...kacian
adminnya dah dikirimin surat cinta, tp sampe skr belom ke bls juga :ash


blm smpet di repair mgkn tu bro..
tp boleh juga link nya djadiin bhan prcobaan dari newbie kya ane

Posted by ysufv on 01-03-2010 14:42
#13

Yuhuu.. Keren nih :D nice post kak aurel.. di friendster keknya bisa tuh (hayah balik ke jaman fs lg :P) buat top n left dijadiin 1000px, hehe.. Dlu sempat nyoba n ketutup dah comment2 nya

Posted by davi jones on 18-03-2011 03:31
#14

makasih banyak gan :thx