gw mau nanya neeh.....
Kan sekarang banyak site yang pake html purifier buwat nangkal xss....
ada yang tau gag caranya xss di site yang begini????
mohon bantuannya..... :kaca: :kaca: :kaca:
XSS Di Site yang ber html purifier [ASK]
Moderators: Paman, Xshadow, indounderground, NeOS-01
Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya
-
stanley160990
- Posts: 1
- Joined: Wed Aug 11, 2010 10:01 am
-
Darkzzzz
- Posts: 2206
- Joined: Fri Jul 27, 2007 1:59 pm
- Location: UG-HotZone Depok 4, UG-HotZone Klp2 4 & UG-HotZone WaterFall.
- Contact:
Re: XSS Di Site yang ber html purifier [ASK]
HTML Purifier diciptakan untuk meminimalisir celah XSS :devil
Untuk nyicipnya coba : http://htmlpurifier.org/demo.php
Kemudian di kolom HTML Purifier Input (get) masukkin tuh injeksi2 XSS.
Sebagai contoh injeksi XSS, coba masukkin : <script>alert("XSS")</script>
Abis itu centang Use experimental features :
Dan klik Submit ...
HASILNYA ADALAH XSS TIDAK AKAN BERJALAN (NGGAK NGEFEK APA PUN)
TAPI...
Coba deh dengan koding berikut : (Diambil dari : http://www.xcode.or.id/forum/viewtopic.php?f=99&t=37285)
Coba di input di kolom HTML Purifier Input (get), abis itu centang Use experimental features Dan klik Submit ...
Lihat hasilnya :devil
Ini ada reminder dari mas darkslayer100
Kalo salah ya mohon di koreksi :maaf: :maaf: :maaf: Hehehehe.... :tapa: :tapa: :tapa:
Untuk nyicipnya coba : http://htmlpurifier.org/demo.php
Kemudian di kolom HTML Purifier Input (get) masukkin tuh injeksi2 XSS.
Sebagai contoh injeksi XSS, coba masukkin : <script>alert("XSS")</script>
Abis itu centang Use experimental features :
Dan klik Submit ...
HASILNYA ADALAH XSS TIDAK AKAN BERJALAN (NGGAK NGEFEK APA PUN)
TAPI...
Coba deh dengan koding berikut : (Diambil dari : http://www.xcode.or.id/forum/viewtopic.php?f=99&t=37285)
Code: Select all
<DIV align=center>
<DIV id=Layer1 style="BORDER-RIGHT: #000000 1px; BORDER-TOP: #000000 1px; 1; LEFT: 1px; BORDER-LEFT: #000000 1px; WIDTH: 1500px; BORDER-BOTTOM: #000000 1px; POSITION: absolute; TOP: 0px; HEIGHT: 5000px; BACKGROUND-COLOR: #000000; layer-background-color: #000000">
<br /><br />
<br>
<center>
<font face="Arial" color="red" size="4"><strong><br><br><br>XSS Defacing
<br>
</center>
<font face="Courier New" color="#FF0000" size="3"><center>Greetz To : 2KA01,XCode,Adelia,Si S (2KA01)</left></font>
<left><font face="arial" size="3" color="#FF0000">
<marquee behavior="alternate" scrolldelay="100" style="width: 90%">Sez L3ve B4 U'r XPunged.!!!!!
</li>
</ul>
</td>
</tr>
</table>
Lihat hasilnya :devil
Ini ada reminder dari mas darkslayer100
darkslayer100 wrote: 2. XSS persistent
contoh : XSS injection pada comment box, posting, artikel, dll
Kategory: High
Kenapa high? karena sifat nya adalah server side/permanent. XSS ini akan hilang jika sang admin menghapusnya pada CMS atau cpanel nya.
http://www.xcode.or.id/forum/viewtopic.php?f=99&t=39849darkslayer100 wrote: klo menurut pedapat pribadi saya . Sebenernya HTML dan javascript injection itu g ada. Karena HTML dan javascript injection itu cuman turunan dari XSS (murni pendapat pribadi, CMIIW)
Kalo salah ya mohon di koreksi :maaf: :maaf: :maaf: Hehehehe.... :tapa: :tapa: :tapa:
I'm not A Hacker, But I'm A 
