ok .. Artikel ini di publish bukan bersifat untuk menjatuhkan .. Tetapi setelah memberitahukan kepada admin / pihak terkait atas forum yg sengaja dibiarkan HTML ON.. Dan atas info dari teman kemaren mengenai hal serupa yang terjadi di Forum Kompas ( tapi di Forum Kompas HTML Filter sudah OFF dan masih bisa di susupi)
Script sederhana yang digunakan adalah :
<script>document.write('your cookie:' + document.cookie)</script>
Hasilnya bisa dilihat di salah satu thread pada forum tersebut, berikut cuplikan gambarnya :
XSS
Tidak terlepas dari html script saja, ternyata javascript juga dibiarkan ON :-O
<script type="text/javascript">
<!--
alert("Hello world!");
//-->
</script>
Hasilnya bisa dilihat di sini
Sungguh hal ini sangat memprihatinkan mengingat forum / situs ngobrolaja.com (Powered by vBulletin® Version 3.7.4) ini merupakan salah satu situs yg sering di kunjungi khususnya orang-orang di Medan. karena dengan memanfaatkan celah yang di biarkan terbuka itu, bisa saja ada orang yang iseng :)>-
Mudah-mudahan dengan di publishnya tulisan ini. pihak dari ngobrolaja.com lebih konsen juga terhadap keamanannya. Thanks to dru, xtremenitro, hsn :)>-
ooo serammm
wedew, parah juga. semoga adminnya cepat memperbaiki.
hmm .. tadi coba cek lagi .. ternyata masih terbuka bebas
Skrg udh g bs koq.
masih bs kok :D
klo misalkan…. vulnerable ?????
sisi celah mana yang bisa di tembus…?? maksod gue caranya gimana????
bukannya itu cm false positif ajeeeee ..kek!!
ma’ap gua newbie
mohon pencerahan seberapa parah XSS..
beserta contoh mgkn biar JEEELAAASSSS !!!
thx.