X-code Professional

X-code Community

Facebook group

Instagram X-code

Twitter

X-code Training

Panel
Welcome! Anonymous

XSS Di Site yang ber html purifier [ASK]

[ { NUM_COMMENT }]

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya

XSS Di Site yang ber html purifier [ASK]

Postby stanley160990 » Wed Aug 18, 2010 5:10 pm

gw mau nanya neeh.....
Kan sekarang banyak site yang pake html purifier buwat nangkal xss....
ada yang tau gag caranya xss di site yang begini????

mohon bantuannya..... :kaca: :kaca: :kaca:
stanley160990
 
Posts: 1
Joined: Wed Aug 11, 2010 10:01 am

Re: XSS Di Site yang ber html purifier [ASK]

Postby Darkzzzz » Sun Aug 22, 2010 2:54 am

HTML Purifier diciptakan untuk meminimalisir celah XSS :devil

Untuk nyicipnya coba : http://htmlpurifier.org/demo.php
Kemudian di kolom HTML Purifier Input (get) masukkin tuh injeksi2 XSS.
Sebagai contoh injeksi XSS, coba masukkin : <script>alert("XSS")</script>
Abis itu centang Use experimental features :
Dan klik Submit ...

HASILNYA ADALAH XSS TIDAK AKAN BERJALAN (NGGAK NGEFEK APA PUN)
TAPI...
Coba deh dengan koding berikut : (Diambil dari : http://www.xcode.or.id/forum/viewtopic.php?f=99&t=37285)
Code: Select all
<DIV align=center>
<DIV id=Layer1 style="BORDER-RIGHT: #000000 1px; BORDER-TOP: #000000 1px;  1; LEFT: 1px; BORDER-LEFT: #000000 1px; WIDTH: 1500px; BORDER-BOTTOM: #000000 1px; POSITION: absolute; TOP: 0px; HEIGHT: 5000px; BACKGROUND-COLOR: #000000; layer-background-color: #000000">
<br /><br />
<br>
<center>
<font face="Arial" color="red" size="4"><strong><br><br><br>XSS Defacing
<br>
</center>
<font face="Courier New" color="#FF0000" size="3"><center>Greetz To : 2KA01,XCode,Adelia,Si S (2KA01)</left></font>

<left><font face="arial" size="3" color="#FF0000">
<marquee behavior="alternate" scrolldelay="100" style="width: 90%">Sez L3ve B4 U'r XPunged.!!!!!
</li>
</ul>
</td>
</tr>
</table>

Coba di input di kolom HTML Purifier Input (get), abis itu centang Use experimental features Dan klik Submit ...
Lihat hasilnya :devil
Image


Ini ada reminder dari mas darkslayer100
darkslayer100 wrote:2. XSS persistent
contoh : XSS injection pada comment box, posting, artikel, dll
Kategory: High
Kenapa high? karena sifat nya adalah server side/permanent. XSS ini akan hilang jika sang admin menghapusnya pada CMS atau cpanel nya.


darkslayer100 wrote:klo menurut pedapat pribadi saya . Sebenernya HTML dan javascript injection itu g ada. Karena HTML dan javascript injection itu cuman turunan dari XSS (murni pendapat pribadi, CMIIW)

http://www.xcode.or.id/forum/viewtopic.php?f=99&t=39849

Kalo salah ya mohon di koreksi :maaf: :maaf: :maaf: Hehehehe.... :tapa: :tapa: :tapa:
I'm not A Hacker, But I'm A Image
User avatar
Darkzzzz
 
Posts: 2206
Joined: Fri Jul 27, 2007 1:59 pm
Location: UG-HotZone Depok 4, UG-HotZone Klp2 4 & UG-HotZone WaterFall.

{ FACEBOOK_COMMENT }


Return to Web Hacking

Who is online

Users browsing this forum: No registered users and 13 guests