Girin Digdo
Blog Universitas Komputer Indonesia

UNIKOM XSS Bug

UNIKOM XSS Bug
Pagi ini saya meng-update status untuk mahasiswa saya terkait dengan kompetisi hacking online "Capture The Flag" yang notabene kegiatan ini adalah LEGAL dengan server yang telah saya sediakan sendiri (yang saya miliki) dan tidak bersifat MERUSAK. Setelah saya posting terkait hal tersebut, kemudian saya beralih ke akun mahasiswa (karena saya dulu pernah berkuliah di kampus ini dan memiliki akun).
 
Dalam akun ini saya mengganti data pribadi saya, dan terlintas dibenak saya apakah form yang saya hadapi ini aman? Kemudian saya mencoba sedikit menginputkan script untuk melihat apakah form tersebut telah disanitasi terhadap script yang tidak baik. Setelah saya menginputkan beberapa script sederhana, saya menemukan hal menarik sebagai berikut:
 
1
Gambar 1. Menyisipkan Plana Luar
 
1
Gambar 2. Plana Luar Dapat Berfungsi dengan Baik
 
Pada halaman detail pengunjung ternyata pengambilan data dari database tidak disanitasi sehingga mengakibatkan script yang saya inputkan tadi dieksekusi.
 
XSS ini merupakan jenis XSS persisten yang artinya apabila setiap pengguna mengakses halaman tersebut, maka pengguna akan disuguhkan tampilan seperti gambar di atas. Hal yang berbahaya adalah apabila attacker menginputkan script jahat yang dapat merugikan pengguna.
 
Saya tidak menjelaskan lebih rinci mengenai masalah ini. Mohon kepada Admin (saya telah men-tag di kampus online) untuk segera melakukan sanitasi terhadap karakter yang dianggap berbahaya baik bagi inputan maupun halaman yang me-look up data ke database.
 
Sanitasi dapat dilakukan seperti menambahkan fungsi strip_tags, htmlentities, dan lain sebagainya.
 
Untuk info lebih lengkap, Admin dapat membaca plana luar salah satunya di sini .
 
Semoga bermanfaat.
Format Lainnya : PDF | Google Docs | English Version
Diposting pada : Minggu, 24 Mei 15 - 07:06 WIB
Dalam Kategori : XSS, BUG
Dibaca sebanyak : 1508 Kali
Girin DigdoGirin Digdo · amarullz Taryana Idik
Diposting pada : Minggu, 24 Mei 15 - 07:08 WIB
Girin DigdoGirin Digdo · Donny
Diposting pada : Minggu, 24 Mei 15 - 07:08 WIB
Taryana SuryanaTaryana Suryana · ok, nuhun
Diposting pada : Minggu, 31 Mei 15 - 06:08 WIB
Taryana SuryanaTaryana Suryana · Girin, tolong test lagi
Diposting pada : Rabu, 03 Juni 15 - 21:24 WIB
Girin DigdoGirin Digdo · baik, sudah benar pak Senang 
Diposting pada : Senin, 15 Juni 15 - 06:15 WIB
Anda harus Login terlebih dahulu untuk mengirim komentar
Facebook Feedback