---

WTF... Keren banget dah...


Bakalan ngirim kokis kesini...

---

url password 'kue' nya apaan?? hihihi jadi pengen liat siapa aja yg udah kena...

oia buat temen-temen yang blm tau apa itu CSRF akan saya jelaskan sesingkat-singkatnya, CSRF (Cross Site Request Forgery) adalah salah satu vulnerability pada Web Applikasi yang bekerja dengan cara mengeksploitasi suatu task dari
sebuah Web dengan memanfaatkan Autentikasi yang dimiliki oleh korban.

bingung??? silahkan baca echo|zine, volume 6 issue 18 yang di tulis oleh L41n

btw bugnya Udah di patch sama jasakom blm ya??

---

maap kakak..
/me kalo boleh tau...
apa ntuh semacem hacking juga???

mohon penjelasan kk..
/me masih nyubi

---

Hacking macemnya ada banyak bro, dan CSRF itu salah satunya. penjelasannya silahkan klik link ezine yg sebelumnya sudah saya post.

---

om Andri ...
gw dah nyoba CSRF di XYB ...
tepatnya di edit signature biar setiap orang yang ngeklik link gw di bakal ngerubah signature nya jadi yang gw pengen ... gw juga nyoba di chat form ...
tapi gk bisa ...
Automatic submitnya sih jalan...pas 2 detik di bakal ke redirect ke halaman actionnya ... tapi form nya jadi kosong lagi...jadi signature yang ketulis gk ada .... padahal klo gk pek automatic submit bisa ... ya normal lah kayak web laennya...

itu gimana om cara nyegahnya ... apa ada hubungannya dengan submit name di tiap submit button yang om buat ??apa di validasi dulu gitu om .. gak ngerti nih gw..

---

WoW:?cay? boleh nyoba nee....

---

kok nyoba ..? kan gw bilang gk bisa (kayaknya)....makanya gw pengen tahu cara pencegahannya...

---

bukan lewat situ, tapi lewat cookies. setiap user yg udah login pasti dapet cookies kok. makanya seandainya kamu nyoba CSRF di xyb ya blm tentu bisa, karna saat user kena jebakan, situs ini mengecek, apakah cookiesnya user yang bersangkutan atau tidak???

kurang lebih begitu bro.

---

makin gk ngerti saya om....
maksud lewat cookies maca stealing cookies gitu..

jadi saya nyoba nya gini.....

gw ngebikin file yang sama dengan halaman edit signature...

tapi file tersebut sebelumnya gw edit supaya value dari signature tersebut jadi semau gw...trus actionnya juga gw ganti biar bisa jalan...trus di tambahin dengan automatic submit ..mirip kayak tutorial dari ezine yang om kasih,,,,

nah setelah semua sudah jalan .. misa saya upload file tersebut di hosting...lalu saya membuat link tipuan...yang mengarah ke file tersebut...sehingga tiap user xyb yang sudah login lalu di mengkli link yang saya buat ... dia bakal masuk ke halaman tadi..yang bakal ngerubah signaturenya dia.. tapinya dengan automatic submit dengan delay yang cepet...sypaya gk keliatan..walaupun agak mencurigakan banget...

tapi yang jadi masalah...ketika kita masuk ke halaman tersebut dan dalam 2 detik kita ke redirect ke halaman asli edit signature...gk ada perubahan sama sekali...
beda halnya ketika orang yang mengklik link tersebut secara sengaja menekan tombol submit..(tanpa menggunakan automatic submit.)

---

Saat user buka situs xyb dan login, Server XYB akan mengirimkan cookies dan session yang di simpen di direktori temp di komputer user, sampe sini paham kan...

nah saat user nge-klik "URL" yang lu buat, secara gak langsung, user merequest isi script, dan kebetulan script yg lu buat berfungsi untuk meng-update Signature

nah saat meng-update signature, session & cookie yang sebelumnya telah di download akan di cek (di bandingkan). apakah berasal dari Server XYB atau bukan, apakah User tersebut yang login atau bukan.

Jika iya, maka proses update akan di lakukan, tapi kalo bukan akan di redirect ke form input.

sampe sini paham gak bro?

---

ok saham saham...thanks om..

---

Aduh mav baru balez..Alhamdulillah bro, om t0m saat itu juga n hari itu juga keknya langsung ngepatch coz dia udah bilang semua cookiesnya udah diapus..Gw aja langsung ganti password buru2 waktu itu..Kampret tuh yang bikin, mungkin kalo gw yang kena sih ga apa tapi kalo tiba2 kek admin or moderator yang setingkat admin kek si t0m yang kena kan berabe..Bisa2 diacak dah Jasakom =_="

Segitu dulu brother..Btw yang udah kena salah satu nya om t0m sendiri..wkwkwwkwkwk..

---

WAkakakakak... Rame banget... CSRF tuh kayak One Click To Jail yah? Hehehehehe... ASik banget kalo diterapin ke ADsense...

CMIIW

---

hem...
aku gak tau lagi ne,.,,tapi yang jelas informasinya sangat berguna,,
thanks ya ,,,
:?ate?

---

thread menarik...... ninggalin jejak dulu deh.... ^_^