API tools faq
paste
Advertisement
hamidy

xss2

hamidy
Nov 15th, 2024
19
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 2.42 KB | None | 0 0
raw download clone embed print report
  1. Halo, Nama saya Muhammad Fazriansyah, dan saya menemukan kerentanan Cross-Site Scripting (XSS) pada domain sampangkab.go.id
  2. Vulnerability:
  3.  
  4. Cross-Site Scripting (XSS)
  5. Affected URL:
  6.  
  7. https://sampangkab.go.id/e-layanan/index/
  8.  
  9. Severity:
  10.  
  11. High
  12. Description:
  13.  
  14. Kerentanan XSS ini terjadi pada fitur Kontak di halaman e-Layanan. Ketika saya memasukkan payload JavaScript tertentu pada form "Hubungi Kami" di kolom nama, email, atau pesan, seperti:
  15.  
  16. "><img src=x onerror=prompt(document.domain)>
  17.  
  18. Setelah pengiriman form, skrip JavaScript ini dieksekusi oleh browser. Ini menunjukkan bahwa input pengguna tidak divalidasi atau di-sanitize dengan benar sebelum ditampilkan di halaman, memungkinkan eksekusi skrip berbahaya yang dapat dipicu oleh pengguna yang mengunjungi halaman tersebut.
  19. Impact:
  20.  
  21. Kerentanan ini dapat dieksploitasi oleh penyerang untuk melakukan beberapa jenis serangan, termasuk:
  22.  
  23. Pencurian cookie pengguna dan session hijacking jika pengguna terautentikasi.
  24. Phishing atau pengalihan pengguna ke situs berbahaya.
  25. Menampilkan konten berbahaya yang dapat mengganggu pengalaman pengguna dan menurunkan kredibilitas situs.
  26. Pengguna yang mengunjungi halaman tersebut tanpa sadar dapat terinfeksi atau diarahkan ke situs jahat.
  27.  
  28. Remediation:
  29.  
  30. Lakukan input validation dan output encoding pada semua parameter input pengguna, terutama pada form Hubungi Kami.
  31. Sanitize input dengan benar untuk mencegah karakter-karakter berbahaya seperti <, >, dan atribut onerror dari dieksekusi oleh browser.
  32. Implementasikan Content Security Policy (CSP) untuk membatasi eksekusi skrip yang tidak tepercaya.
  33. Escaping karakter khusus yang dimasukkan pengguna untuk mencegah eksekusi kode berbahaya dalam HTML atau JavaScript.
  34.  
  35. References:
  36.  
  37. OWASP XSS Prevention Cheat Sheet
  38. Cross-Site Scripting (XSS) Explained
  39.  
  40. Proof of Concept:
  41.  
  42. Akses halaman berikut:
  43. https://sampangkab.go.id/e-layanan/index/
  44.  
  45. Pada form Kontak, masukkan payload berikut ke kolom nama, email, atau pesan:
  46.  
  47. "><img src=x onerror=prompt(document.domain)>
  48.  
  49. Setelah mengirimkan form, halaman akan memunculkan prompt JavaScript yang menampilkan document.domain. Ini menunjukkan bahwa skrip berbahaya dijalankan di browser pengguna, yang mengindikasikan adanya kerentanannya.
  50.  
  51. Hal ini juga berarti setiap pengguna lain yang mengakses halaman tersebut dapat terpengaruh oleh serangan XSS yang sama.
  52.  
  53.  
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!