XSS Bug Ngobrol Aja

dylavig — Mon, 01 Dec 2008 06:40:56 +0000

ok .. Artikel ini di publish bukan bersifat untuk menjatuhkan .. Tetapi setelah memberitahukan kepada admin / pihak terkait atas forum yg sengaja dibiarkan HTML ON.. Dan atas info dari teman kemaren mengenai hal serupa yang terjadi di Forum Kompas ( tapi di Forum Kompas HTML Filter sudah OFF dan masih bisa di susupi)

Script sederhana yang digunakan adalah :

Hasilnya bisa dilihat di salah satu thread pada forum tersebut, berikut cuplikan gambarnya :

XSS

Tidak terlepas dari html script saja, ternyata javascript juga dibiarkan ON :-O

Hasilnya bisa dilihat di sini

Sungguh hal ini sangat memprihatinkan mengingat forum / situs ngobrolaja.com (Powered by vBulletin® Version 3.7.4) ini merupakan salah satu situs yg sering di kunjungi khususnya orang-orang di Medan. karena dengan memanfaatkan celah yang di biarkan terbuka itu, bisa saja ada orang yang iseng :)>-

Mudah-mudahan dengan di publishnya tulisan ini. pihak dari ngobrolaja.com lebih konsen juga terhadap keamanannya. Thanks to dru, xtremenitro, hsn :)>-

XSS Bug Forum Kompas

NitrouZ — Wed, 12 Nov 2008 10:05:58 +0000

Barusan chat bentar dengan om dru. :D Sebelum beliau cari makan siang dan beli pulsa IM3 :D Iseng-iseng lihat salah satu thread di forum kompas, terus ada topic yang sepertinya aneh dan terlalu dini untuk di ceritakan. Bahasa gaulnya sih temen-temen nyebutnya REPOST !

Nah, dikasih preview sama om dru kalo forum kompas rawan banget sama XSS Inject :D Di kasih demo ke salah satu threadnya, dan…. poof.. Sebuah script redirect pun melayang. :)) Kemungkinan script-script yang lain bakal bertebaran bagi yang menyalahgunakannya :D

Pengen lihat contohnya ? Kebetulan ada nih yang post (bukan saya dan kebetulan bukan om dru), visit at your own risk ! Saya tidak bertanggung jawab atas bahaya yang akan terjadi di komputer Anda. Link test di sini.

NitrouZ Personal Pages » xss

XSS Bug Ngobrol Aja

XSS Bug Forum Kompas