XSS & CSRF ACCOUNT TAKEOVER AGAIN | POINTBLANK.ID
Pengenalan Vulnerability
[ * ] Berdasarkan OWASP ,
• XSS adalah jenis serangan bertipe injeksi kode , di mana skrip jahat dalam bentuk html (malicious code) dapat disuntikkan ke sebuah situs web . Serangan XSS terjadi ketika penyerang menggunakan aplikasi web untuk mengirimkan kode html berbahaya , umumnya dalam bentuk skrip disisi klien dimana serangan ini akan seolah-olah berasal dari situs web tersebut .
[ * ] Berdasarkan Wikipedia ,
• CSRF Account Take Over adalah adalah jenis eksploitasi berbahaya dari sebuah situs web di mana perintah yang tidak sah dikirimkan dari pengguna yang dipercaya oleh aplikasi web . Ada banyak cara di mana situs web jahat dapat mengirimkan perintah seperti itu; terutama tag gambar yang dibuat khusus, formulir tersembunyi, dan JavaScript XMLHttpRequests Sebagai contoh , semua itu dapat berfungsi tanpa interaksi pengguna atau bahkan tanpa sepengetahuan korban .
• XSS adalah jenis serangan bertipe injeksi kode , di mana skrip jahat dalam bentuk html (malicious code) dapat disuntikkan ke sebuah situs web . Serangan XSS terjadi ketika penyerang menggunakan aplikasi web untuk mengirimkan kode html berbahaya , umumnya dalam bentuk skrip disisi klien dimana serangan ini akan seolah-olah berasal dari situs web tersebut .
[ * ] Berdasarkan Wikipedia ,
• CSRF Account Take Over adalah adalah jenis eksploitasi berbahaya dari sebuah situs web di mana perintah yang tidak sah dikirimkan dari pengguna yang dipercaya oleh aplikasi web . Ada banyak cara di mana situs web jahat dapat mengirimkan perintah seperti itu; terutama tag gambar yang dibuat khusus, formulir tersembunyi, dan JavaScript XMLHttpRequests Sebagai contoh , semua itu dapat berfungsi tanpa interaksi pengguna atau bahkan tanpa sepengetahuan korban .
Setelah beberapa hari yang lalu saya menemukan dan melaporkan bug open redirect lead to xss pada website PB Zepetto lalu mendapat ucapan terima kasih dari Admin 
Jumat, 12 April 2019, kali ini saya kembali iseng mencari bug pada website tersebut .
• Saya membuka setiap halaman pada website lalu menemukan halaman faq :
Dapat dilihat disitu ada form pencarian . Saya berpikir biasanya di form seperti ini rawan akan celah/penyerangan berjenis code injection semisal XSS, SQLI bahkan RCE.
• Untuk membuktikannya saya pun langsung mencoba untuk meng-input test pada form tersebut dan setelah saya enter, saya menemukan parameter yang cukup unik pada address bar
• Setelah itu saya coba view-source halaman tersebut , dan ini yang saya temukan :
Saya menyimpulkan bahwa kata test pada parameter
• Dan saya coba view-source kembali.
Dari gambar di atas dapat kita lihat bahwa tidak adanya filtering pada karakter-kadakter seperti double quote
"Kalau begitu bagaimana jika saya melakukan manipulasi pada attribute html dan tag htmluntuk memunculkan pop up javacript (XSS)
• Maka dari itu langsung saja saya coba masukkan payload
Dari gambar di atas dapat kita lihat bahwa saya berhasil melakukan manipulasi pada html tersebut. Berikut penjelasannya payloadnya :
• test"> : karakter
•
•
Jumat, 12 April 2019, kali ini saya kembali iseng mencari bug pada website tersebut .
• Saya membuka setiap halaman pada website lalu menemukan halaman faq :
Dapat dilihat disitu ada form pencarian . Saya berpikir biasanya di form seperti ini rawan akan celah/penyerangan berjenis code injection semisal XSS, SQLI bahkan RCE.
• Untuk membuktikannya saya pun langsung mencoba untuk meng-input test pada form tersebut dan setelah saya enter, saya menemukan parameter yang cukup unik pada address bar
https://www.pointblank.id/faq/list?keyword=test
• Setelah itu saya coba view-source halaman tersebut , dan ini yang saya temukan :
Saya menyimpulkan bahwa kata test pada parameter
?keyword= ternyata ter-refleksi kedalam attribute html yaitu pada bagian value value=test . Lalu saya coba masukkan test"> .• Dan saya coba view-source kembali.
Dari gambar di atas dapat kita lihat bahwa tidak adanya filtering pada karakter-kadakter seperti double quote
" & karakter greater-than >."Kalau begitu bagaimana jika saya melakukan manipulasi pada attribute html dan tag htmluntuk memunculkan pop up javacript (XSS)
• Maka dari itu langsung saja saya coba masukkan payload
test"><body onload="javascript:prompt('xss3D By Mikhro')"><input value=" setelah itu saya view-source :
Dari gambar di atas dapat kita lihat bahwa saya berhasil melakukan manipulasi pada html tersebut. Berikut penjelasannya payloadnya :
• test"> : karakter
"> digunakan untuk melepaskan diri dari attribute value yang berisi inputan user dan tag input .•
<body onload="javascript:prompt('xss3D By Mikhro')"> : adalah script yang digunakan untuk memunculkan pop up javascript (XSS) .•
<input value=" : digunakan untuk membuat tag dan attribute baru pada html agar tidak terjadi error .
• Lalu saya coba untuk meng-eksekusi payload tersebut di browser , namun ternyata kena block oleh XSS Auditor
Saya sudah coba semua browser Android dan ternyata masih kena block sama XSS Auditor.
Akhirnya saya meminta tolong pada teman yang memiliki PC untuk membantu saya mengecek apakah payload saya ter-eksekusi dengan baik dan memunculkan pop up javascript . Saya menyuruhnya untuk meng-eksekusi lewat browser Mozilla , kalau berhasil saya memintanya untuk meng-screenshot/meng-foto itu. Ternyata berhasil .
• Berikut fotonya :
• "Yeeesss !
Saya sudah coba semua browser Android dan ternyata masih kena block sama XSS Auditor.
Akhirnya saya meminta tolong pada teman yang memiliki PC untuk membantu saya mengecek apakah payload saya ter-eksekusi dengan baik dan memunculkan pop up javascript . Saya menyuruhnya untuk meng-eksekusi lewat browser Mozilla , kalau berhasil saya memintanya untuk meng-screenshot/meng-foto itu. Ternyata berhasil .
• Berikut fotonya :
• "Yeeesss !
Setelah menemukan bug ini , saya pun tidur . Saat itu kira-kira sudah jam 23.33 WIB . Pada Sabtu, 13 April 2019 , sekitar Jam 03.30 WIB subuh
saya terbangun => mengambil smartphone android saya lalu membuka fb. Di fb saya dapat notif kalau ada yang mengirim di Grup Indoxploit ketika saya cek. Ternyata ada sebuah write up tentang Bug CSRF pada web Elevenia dari mhank True Melody . Setelah membaca write up tersebut saya menjadi penasaran, "apakah bug CSRF pada web Elevenia ini ada juga pada web PB Zepetto ?
saya terbangun => mengambil smartphone android saya lalu membuka fb. Di fb saya dapat notif kalau ada yang mengirim di Grup Indoxploit ketika saya cek. Ternyata ada sebuah write up tentang Bug CSRF pada web Elevenia dari mhank True Melody . Setelah membaca write up tersebut saya menjadi penasaran, "apakah bug CSRF pada web Elevenia ini ada juga pada web PB Zepetto ?
- Menyiapkan setidaknya 2 akun , 1 akun Attacker & 1 lagi akun User/Victim :
Jadi di sini saya telah menyiapkan 2 akun dengan username "hacker7" sebagai Attacker/Hacker dan username "mikhro_26" sebagai Victim/Korban .
Kedua akun ini memiliki password yang sama yaitu password0ld . - Mengganti password pada akun Attacker:
Disini saya menyalakan Net Capture lalu mengganti password akun Attacker dari password0ld menjadi passwordb4ru . Lalu Attacker akan logout dari akunnya untuk menghilangkan/melenyapkan sessionnya , supaya tidak tabrakan, begitu kira-kira kalau diumpamakan .
• Berikut hasil sniff/post datanya : - Membuat script/payload untuk menjalankan skema CSRF nya :
• Dari hasil sniff pada gambar di atas , saya membuat payload html sederhana :
<html>
<body>
<form action="https://www.pointblank.id/password/change/process" method="POST">
<input type="text" name="SESSION" value="SESSIONNYA">
<input type="text" name="oldpassword" value="password0ld">
<input type="text" name="password" value="passwordb4ru">
<input type="text" name="repassword" value="passwordb4ru">
<input type="submit" value="Send Hadiah">
</form>
</body>
</html>
Nantinya script ini akan dijadikan media/akses/celah oleh Attacker untuk mengambil alih akun dengan menggati password User/Victim secara diam-diam . Saya juga sengaja tidak membuat
<input type="hidden"> (agar tidak mencurigakan) supaya kalian bisa melihat tampilan visualnya.- Mengirimkan link yang telah di shortener berisi file script di atas pada victim melalui email dengan iming-iming hadiah .
User/Victim awam yang keadaannya sedang ter-login pada website poitblank.id ketika mendapat email dari Attacker pasti akan mudah percaya dan segera membuka link tersebut lalu menekan tombol "Send Hadiah" untuk menerima hadiah .
• Berikut ini gambar gif disisi Victim yang akan menggambarkan penjelasan saya :
Yapppp ! Password akun user sudah berhasil diganti oleh Attacker secara diam-diam.
Dan ketika User kembali ke website, ia tidak akan ter-logout. Makanya ia tidak tahu kalau sebenarnya password akunnya sudah diganti.
Impact Bug XSS (Reflected XSS)
- Attacker dapat memanfaatkan bug ini untuk mencuri cookie User .
Impact Bug CSRF Account Takeover
- Attacker dapat mengambil alih akun dengan memaksakan request dari session User (Victim) tersebut untuk mengganti password akun tanpa diketahui oleh si User .
0 Response to "XSS & CSRF ACCOUNT TAKEOVER AGAIN | POINTBLANK.ID"
Post a Comment
Terima kasih sudah membaca artikel yang saya buat. 👊😎
Silahkan komen kritik / saran untuk membantu saya agar artikel selanjutnya dapat lebih baik lagi.
Perhatian : Mohon untuk tidak komen menggunakan kata kasar !
Terima kasih🙏