Realistic Mission : Javascript Injection
Jumat, 30 September 2011
| 
Diposting oleh
Unknown |
Beberapa minggu yang lalu, saya menemukan sebuat situs yang beralamat di http://coder.web.id. Situs ini menyediakan forum bagi sesama komunitas IT dan juga sebuah situs yang merupakan Security Challenges.
Dalam Security Chalenges, anda akan diajak menyelesaikan beberapa misi mulai dari yang sederhana (Basic Mission) sampai yang Expert (Programming).
Saya sendiri sudah berhasil menyelesaikan semua Basic Mission, Realistic Mission, dan Cryptography. Tinggal Javascript (sisa 2 misi) dan Programming nih yang belum. Keburu puyeng kepala.
Ok. Diatas saya memberi judul Javascript Injection. Apa sih Javascript Injection?
Tugas saya kali ini ialah membantu seorang wanita bernama Ranny yang kesusahan menghadapi ujian matematikanya. Berikut lengkapnya….
Ok, langkah pertama saya akan membuka situsnya. Mungkin anda tidak akan diperkenankan membuka situs tersebut sebelum Register terlebih dahulu. Maka dari itu saya akan tampilkan Screenshootnya saja ya.
Loh, tau dari mana username dan passwordnya? Bukannya si Ranny udah memberitahukan sebelumnya. Kalo begitu kita belum harus menggunakan SQL Injection kan? ^^
Setelah masuk ternyata ada 15 pertanyaan yang ditampilkan. Coba perhatikan baik-baik setiap pertanyaan-nya. Aneh bukan? Hahahaha….
Pantesan gak lulus-lulus, lah soalnya aja gak beres kok. Hehehe….
Usut punya usut, dari 15 pertanyaan yang ditampilkan ada 1 pertanyaan saja yang ada pilihan jawabannya yaitu No 10 dengan jawaban B. Wowww… itupun setelah saya pusing mencarinya. ==a
Ok tak mengapa, cek dulu source code halaman tersebut. Saya menemukan hal menarik disini. ^^
Terlihat bahwa terdapat kode nilai “value” yang menyimpan angka S01 untuk databank_1, S15 untuk databank_2, dst. Ini bisa menjadi kunci awal kita untuk memanipulasi data-data yang akan dikirim ke server (bank soal) nantinya.
Berbekal 1 jawaban yang benar diawal tadi, sekarang saatnya kita memanipulasi data yang akan dikirimkan dari halaman tersebut ke server dengan menggunakan teknik Javascript Injection.
Seperti yang kita tahu, soal no 10 bernilai (value) S13. Maka kita akan merubah semua value menjadi S13. Berikut screenshootnya.
Lakukan satu persatu hingga databank_15. Cukup merubah databank-nya saja…
Lanjut ya. Setelah semua langkah diatas udah dilakukan, selanjutnya isi semua pilihan ke jawaban yang B. Langsung tekan Kirim Jawaban. ^^
Tadaaaaa….. Kita berhasil mengelabui server pengecekan jawaban. ^^
Huffttt….. akhirnya. Gimana, Asik bukan?
Referensi : www.testingsecurity.com
Dalam Security Chalenges, anda akan diajak menyelesaikan beberapa misi mulai dari yang sederhana (Basic Mission) sampai yang Expert (Programming).
Saya sendiri sudah berhasil menyelesaikan semua Basic Mission, Realistic Mission, dan Cryptography. Tinggal Javascript (sisa 2 misi) dan Programming nih yang belum. Keburu puyeng kepala.
Ok. Diatas saya memberi judul Javascript Injection. Apa sih Javascript Injection?
Suatu teknik yang dapat digunakan untuk mengganti isi suatu situs tanpa meninggalkan situs tersebut. Teknik ini memerlukan pengguna komputer untuk memasukkan kode Javascript pada URL suatu suatu situs (jarang sekali suatu situs membiarkan kita untuk melakukan javascript injection pada comment box, informasi, dll kecuali guestbook).Kali ini saya akan men-demokan bagaimana cara memanipulasi suatu situs menggunakan Javascript Injection.
Tugas saya kali ini ialah membantu seorang wanita bernama Ranny yang kesusahan menghadapi ujian matematikanya. Berikut lengkapnya….
Halo kk, aQ sangat butuh bantuanmu. Begini, aQ selalu gagal pada ujian matematika, bukan karena aQ gak bisa tapi soal ujiannya benar-benar tidak masuk akal. Ini kesempatan terakhir Q tuk perbaiki nilai, jika tidak aQ akan dikeluarkan. Bisakah kk membantu Q? ujiannya ada pada situs ini. Nomor induk Q 515515, password r4nNy. Tolong kk, ini kesempatan terakhir!Let’s Hack!! ^^
Ok, langkah pertama saya akan membuka situsnya. Mungkin anda tidak akan diperkenankan membuka situs tersebut sebelum Register terlebih dahulu. Maka dari itu saya akan tampilkan Screenshootnya saja ya.
Loh, tau dari mana username dan passwordnya? Bukannya si Ranny udah memberitahukan sebelumnya. Kalo begitu kita belum harus menggunakan SQL Injection kan? ^^
Setelah masuk ternyata ada 15 pertanyaan yang ditampilkan. Coba perhatikan baik-baik setiap pertanyaan-nya. Aneh bukan? Hahahaha….
Pantesan gak lulus-lulus, lah soalnya aja gak beres kok. Hehehe….
Usut punya usut, dari 15 pertanyaan yang ditampilkan ada 1 pertanyaan saja yang ada pilihan jawabannya yaitu No 10 dengan jawaban B. Wowww… itupun setelah saya pusing mencarinya. ==a
Ok tak mengapa, cek dulu source code halaman tersebut. Saya menemukan hal menarik disini. ^^
Terlihat bahwa terdapat kode nilai “value” yang menyimpan angka S01 untuk databank_1, S15 untuk databank_2, dst. Ini bisa menjadi kunci awal kita untuk memanipulasi data-data yang akan dikirim ke server (bank soal) nantinya.
Berbekal 1 jawaban yang benar diawal tadi, sekarang saatnya kita memanipulasi data yang akan dikirimkan dari halaman tersebut ke server dengan menggunakan teknik Javascript Injection.
Seperti yang kita tahu, soal no 10 bernilai (value) S13. Maka kita akan merubah semua value menjadi S13. Berikut screenshootnya.
Lakukan satu persatu hingga databank_15. Cukup merubah databank-nya saja…
Lanjut ya. Setelah semua langkah diatas udah dilakukan, selanjutnya isi semua pilihan ke jawaban yang B. Langsung tekan Kirim Jawaban. ^^
Tadaaaaa….. Kita berhasil mengelabui server pengecekan jawaban. ^^
Huffttt….. akhirnya. Gimana, Asik bukan?
Referensi : www.testingsecurity.com
8:30 PM |
Label:
0 komentar:
Posting Komentar