Ziddu.Com XSS Vulnerability

16

ziddu-hackedIseng-iseng buka ziddu untuk liat penghasilan ciebal dari ziddu udah berapa dolar, pas ciebal klik tab earning ziddu menampilkan halaman login dengan alert “Please Login or Register“.

Ciebal gak sengaja liat URLnya sedikit janggal yaitu http://www.ziddu.com/login.php?logmsg=Please Login or Register. Langsung aja ciebal coba dengan tag dasar html seperti heading,bold, dll. Dan ternyata memang bisa. ^^

Ciebal coba dengan sedikit nakal menggunakan tag IMG tapi gak bisa, lalu ciebal coba dengan iframe, ternyata bisa. :D Lalu bagaimana seorang hacker memanfaatkan bug XSS ini?

Hacker bisa memanfaatkan lubang XSS untuk mencuri cookie atau membuat menu baru untuk mencuri data member.

Dalam kasus ini ciebal mencoba membuat form baru pada bug ini berikut sceenshotnya :

ziddu-vuln

Walaupun terlihat amatiran tapi kita bisa membuat lebih cantik lagi sehingga dapat menyakinkan korban. Inilah salah satu contoh pemanfaatan bug XSS atau sering di bilang Virtual Defacement. Selanjutnya hacker bisa mengirim email palsu dengan menyertakan link XSS yang telah dibuat, kalau membernya awam dengan ini, maka dengan mudahnya mengnputkan data akunnya. :D

Semoga bermanfaat dan silahkan coba-coba selagi belum di tambal.. ^_^

Just share, for education purposes only :)

Discussion16 Comments

  1. Keren! :wink: Tapi gw jadi tambah deg-deg-an nih. Web gw banyak banget bolongnya. Blom sempet nambal, lg padat ama kerjaan yg lain :)

Leave a Reply