Home

About

Milis

Blog Roll

Group Facebook

XCode Magazine

1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

Selamat Datang Di Komunitas Yogyafree

Selamat datang di komunitas XCode - Yogyafree - Yogya Family Code. Disini kita saling berbagi ilmu komputer, baik hacking, security, programming, software engineering dan lain sebagainya. Klik disini untuk register

Panel
Welcome! Anonymous

XSS Di Site yang ber html purifier [ASK]

[ Facebook comments]

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya

XSS Di Site yang ber html purifier [ASK]

Postby stanley160990 » Wed Aug 18, 2010 5:10 pm

gw mau nanya neeh.....
Kan sekarang banyak site yang pake html purifier buwat nangkal xss....
ada yang tau gag caranya xss di site yang begini????

mohon bantuannya..... :kaca: :kaca: :kaca:
stanley160990
 
Posts: 1
Joined: Wed Aug 11, 2010 10:01 am

Re: XSS Di Site yang ber html purifier [ASK]

Postby Darkzzzz » Sun Aug 22, 2010 2:54 am

HTML Purifier diciptakan untuk meminimalisir celah XSS :devil

Untuk nyicipnya coba : http://htmlpurifier.org/demo.php
Kemudian di kolom HTML Purifier Input (get) masukkin tuh injeksi2 XSS.
Sebagai contoh injeksi XSS, coba masukkin : <script>alert("XSS")</script>
Abis itu centang Use experimental features :
Dan klik Submit ...

HASILNYA ADALAH XSS TIDAK AKAN BERJALAN (NGGAK NGEFEK APA PUN)
TAPI...
Coba deh dengan koding berikut : (Diambil dari : http://www.xcode.or.id/forum/viewtopic.php?f=99&t=37285)
Code: Select all
<DIV align=center>
<DIV id=Layer1 style="BORDER-RIGHT: #000000 1px; BORDER-TOP: #000000 1px;  1; LEFT: 1px; BORDER-LEFT: #000000 1px; WIDTH: 1500px; BORDER-BOTTOM: #000000 1px; POSITION: absolute; TOP: 0px; HEIGHT: 5000px; BACKGROUND-COLOR: #000000; layer-background-color: #000000">
<br /><br />
<br>
<center>
<font face="Arial" color="red" size="4"><strong><br><br><br>XSS Defacing
<br>
</center>
<font face="Courier New" color="#FF0000" size="3"><center>Greetz To : 2KA01,XCode,Adelia,Si S (2KA01)</left></font>

<left><font face="arial" size="3" color="#FF0000">
<marquee behavior="alternate" scrolldelay="100" style="width: 90%">Sez L3ve B4 U'r XPunged.!!!!!
</li>
</ul>
</td>
</tr>
</table>

Coba di input di kolom HTML Purifier Input (get), abis itu centang Use experimental features Dan klik Submit ...
Lihat hasilnya :devil
Image


Ini ada reminder dari mas darkslayer100
darkslayer100 wrote:2. XSS persistent
contoh : XSS injection pada comment box, posting, artikel, dll
Kategory: High
Kenapa high? karena sifat nya adalah server side/permanent. XSS ini akan hilang jika sang admin menghapusnya pada CMS atau cpanel nya.


darkslayer100 wrote:klo menurut pedapat pribadi saya . Sebenernya HTML dan javascript injection itu g ada. Karena HTML dan javascript injection itu cuman turunan dari XSS (murni pendapat pribadi, CMIIW)

http://www.xcode.or.id/forum/viewtopic.php?f=99&t=39849

Kalo salah ya mohon di koreksi :maaf: :maaf: :maaf: Hehehehe.... :tapa: :tapa: :tapa:
I'm not A Hacker, But I'm A Image
User avatar
Darkzzzz
 
Posts: 2206
Joined: Fri Jul 27, 2007 1:59 pm
Location: UG-HotZone Depok 4, UG-HotZone Klp2 4 & UG-HotZone WaterFall.

leave a comment


Return to Web Hacking

Who is online

Users browsing this forum: No registered users and 23 guests

Web Counter Start : December 14th 2009
Hit Counters

http://www.xcode.or.id