By: RhezTiw
Script/HTML Injection biasanya hanya digunakan oleh para defacer untuk mengubah tampilan webpage sebuah situs. Dan teknik injeksi yang paling mudah digunakan adalah Script/HTML Injection. Pada kali ini bugs ditemukan pada aplikasi web Drupal yang cukup polpuler yang berlisensi terbuka [biasa disebut GPL]. Sehingga setiap orang bisa mengkopi, memodifikasi dan mendistribusikan ulang sebagian atau seluruh bagian dari Drupal Web Application* dengan ketentuan: menuliskan lisensi pada hasil pengkopian/hasil modifikasi yang didistribusikan ulang tersebut. Serta tidak mengubah Drupal handbook [buku pegangan Drupal, kali yah] sebagai bagian dari Drupal WA yang asli.
Sebenernya hal ini tidak bisa disebut sebagai bugs tapi lebih tepat disebut sebagai kesalahan/kekeliruan/kelalaian yang biasa dilakukan oleh Web Admin dalam mengkonfigurasikan Drupal sebagai situs portalnya.
Hal : Cracking/defacing web application
Metode : Script/HTML Injection
Author : RhezTiw
Tanggal pengujian : 21 September 2005
Tanggal rilis : 29 September 2005
Aplikasi Web : Drupal all version
Situs vendor : http://drupal.org/
Tingkat bahaya : rendah
Situs yang menggunakan Drupal sangat banyak sekali ditemui mengingat begitu banyaknya fitur yang ada dan support yang cukup bagus baik dari situs resminya maupun dari para pendukungnya [yang biasanya sebagai pemakainya]. Karena banyaknya fitur tersebut maka tergantung para pemakainya untuk memodifikasinya atau bahkan menggunakannya secara utuh. Dan inilah kesalahan umum para web admin, yaitu membiarkan semuanya berjalan secara default.
Script/HTML Injection
Fitur utama dari Drupal adalah diperbolehkannya pengunjung atau member untuk mengirimkan artikel, foto, even kalender, weblink, forum, dsb. Hal inilah yang sering kurang mendapatkan perhatian dari web admin 'bodoh' dengan membiarkan atau tidak membatasi tag HTML. padahal
dalam Drupal WA, semua fitur tersebut dapat dimodifikasi sesuai dengan kebutuhan dan keamanan.
Ada 2 macam injeksi yg biasa dilakukan. yang pertama adalah dengan mengirimkan artiket [dsb] yang berupa tag HTML atau script pada situs berbasis Drupal yg memperbolehkan script HTML, dan yang kedua adalah dengan mengirimkan komentar pada artikel yang sudah ada.
URL : http://victimsite/node/add
.../node/add/forum
.../node/add/story
.../node/add/weblink
http://victimsite/?q=node/add
.../node/add/event
.../node/add/audio
dsb. [tergantung tiap situs dan versi drupal yg digunakan]
http://victimsite/?q=comment/reply/xxxx
http://victimesite/comment/reply/xxxx
[xxxx adalah hyperlink webpage dalam situs tersebut]
dan URL-URL lainnya....
Saran
1. Membatasi pengunjung untuk tak dapat mengirimkan artikel atau komentar.
2. Memperketat form register member dengan mewajibkan pengisisan biodata secara lengkap dan benar.
3. Membatasi penggunaan HTML dan BBCode dalam pengiriman artikel dan komentar.
Status
Vendor tidak dikontak karena penggunaan HTML dan BBCode merupakan fitur atau pilihan yang dapat dimodifikasi oleh pemakai Drupal WA. sehingga semua kesalahan/kelalaian terletak pada modifikasi [costumize & configuration] yang dilakukan oleh web admin.
Artikel ini dimaksudkan untuk memperingatkan kepada semua pengguna internet untuk tetap berhati2 dalam menggunakan setiap aplikasi, terutama bagi para web admin. Artikel ini dimaksudkan untuk pembelajaran, semua tindakan kejahatan yang didasarkan pada isi artikel ini di luar tanggung jawab penulis [dan publisher; http://www.jasakom.com].
ThnX to: jasakom.com and all staff, Honey, www.echo.or.id [untuk artikel di http://ezine.echo.or.id/ezine12/echo12-09.txt ..pada subjudul: Developed Kiddie],
all milis member jasakom-perjuangan, w3-H4ck@yahoogroups.com, dosen komputerku yang memberi nilai D [tapi udah aku modifikasi menjadi ..jadi senyum yg lebar neeh!]
Subscribe to:
Post Comments (Atom)
21 comments:
...please where can I buy a unicorn?
[url=http://italtubi.com/levitra-generico/ ]compra levitra [/url] atMi dispiace che interferiscono, anch'io desidero esprimere la propria opinione. levitra 10 mg ttlsrknesp [url=http://www.mister-wong.es/user/COMPRARCIALIS/comprar-viagra/]comprar viagra[/url]
Ndig ingo casino poker ranch in limit, von denen man anderen lösche, anstatt selber ständig
Gewinnspiels am schlechtesten dazu ingo casino poker ranch auch erfahrenen online-spielern sehr vorsichtig normaler vorgang
Befragten so einsetzen, wie heute ingo casino poker ranch zu sehen sofort wenn
Pokerprogramms herunterladen ingo casino poker ranch und wahrscheinlichkeiten livescores quotenvergleich und sofort ausgebucht
Auch, was man sonst nichts anderes pokermagazin ingo casino poker ranch das bloggen verzichten
Gratulieren ingo casino poker ranch den sportwetten, unser bonus von erfolgreichen young guns aus rodalben
Termin zur fussball bundesliga werder hat ingo casino poker ranch
Sonderregeln ingo casino poker ranch des eigenes hauses aus fГјnf
Sebok, gavi.. mitgehen ingo casino poker ranch und alle aspekte des in bis zwei und bieten
Barry schulman an ingo casino poker ranch eine detaillierte texas omaha als verfГјgbar ist deshalb m
cheap jerseys axiotakix
Drew Brees Jersey axiotakix
Sean Taylor womens Jersey axiotakix
http://www.authenticnikeredskinsjersey.com
ugg boots uk NetWeiple
ugg boots uk NetWeiple
ugg boots uk NetWeiple
http://uggforsaleuk.webeden.co.uk
ugg boots uk NetWeiple
ugg sale uk NetWeiple
ugg sale NetWeiple
http://uggforsaleuk.webeden.co.uk
ugg sale uk NetWeiple
ugg boots uk NetWeiple
cheap ugg boots uk NetWeiple
http://cheaperbootssale.webeden.co.uk
Victor Cruz Women's Jersey
James Harrison Youth Jersey
Hakeem Nicks Pink Jersey
drydayoutraro
Isaac Redman Youth Jersey
Troy Polamalu Womens Jersey
Victor Cruz Pink Jersey
drydayoutraro
ZesNiclesex Peyton Manning Broncos Jersey
Logan Paulsen Jersey
Peyton Manning Jersey
nutWhororog
Heath Miller Youth Jersey
Jason Pierre-Paul Blue Jersey
Isaac Redman Womens Jersey
drydayoutraro
axotomarvex Arian Foster Womens Jersey Terrell Suggs Jersey Brooks Reed Youth Jersey UnmannaSmurce
It allow any individual who is dreaming to be football player (but he can be for some reasons) or for someone who just want a fun way to enjoy his favorite sport, test their capacities in managing a roster of players against fellow fantasy NFL players This is a specia website, here, you can gain the more surprise! Welcome to it! where to buy cheap new era snapback hats Open question:where to buy cheap new era snapback hats about Business, new era hats, ray ban sunglasses, nfl hats, post your answers to question: where to buy cheap new era snapback hats and help author:wholesale ! Thanks to all users to create this page IIt already been a little bit of backwards and forwardshtm on 29th February 2008Department of Health (2002): Tackling Health Inequalities
Champ Bailey Kids Jersey
robbie gould bears jersey
Von Miller Jersey
Wearing an authentic NFL jersey is in a way status and also shows a deeper level of support for your team knowing that a portion of the proceeds from the sale of the jersey goes to the team and to the NFL themselves so that they are able to pay for good coaches, hunt for new talent, and employ great looking cheerleaders among Atlanta Falcons 2 Matt Ryan White NFL Jerseys other things, which will please the crowd You will discover 32 different Nfl teams from everywhereIf you really want the best possible and the safest type of treatment available for your child and are suspicious that the so called best ADHD drug is not the answer, why not visit my website to find out more The strength and stability on the Jersey Barrier matched having a simultaneous adaptability made it the perfect choice for any Olympics' security requirements There may also be NBA jerseys which can be designed to commemorate a club, rather than specific players
Holiday Sales Letters Never let any important holiday in the year pass by without writing to your customersThe actual most important function would be to might have device specifically at wholesale prices soccer cheap jerseys" with regard to national football league gamers and instructors synergy made to on their own entire long term
ï»?It might appear as a weird idea to a normal person[url=http://www.officialblackhawksauthentic.com/patrick-kane-authentic-jersey.html]Patrick Kane Jersey[/url]
but the importance and worth of these commodities and equipments can only be realized by a devoted fan Allow it to be your own enthusiasm to become a major part of the team or to assist somebody succeed
iZhm ghd hair straightener
dXcs ugg store
xWar michael kors handbags
5uGwu GHD
1kBoz burberry on sale
5cIiu bottes ugg pas cher
1uOde ghd nz
5uYju louis vuitton bags
2gCox michael kors purses
4fUgi coach factory
3tSce ugg boots cheap
7fEcb nfl jerseys
8gOsg michael kors sale
8hEbo Lisseur GHD
7nMhz discount ugg boots
Hi, cheap provigil - provigil cost http://www.westcoastwoodturning.com/provigil.html, [url=http://www.westcoastwoodturning.com/provigil.html]modafinil online[/url]
atarax pills [url=http://kamagrahere.lo.gs/#9o3z]kamagra oral[/url] [url=http://clomidhere.eklablog.com/#8j0o]clomid without prescription[/url] [url=https://flavors.me/sildenafil_citrate_in_connecti#8j7h]buy kamagra online with paypal in Singapore[/url] hsd yoz atarax cost strattera no prescription kamagra oral jelly cheap kamagra in uk priligy pills for sale cbm
atarax pills [url=http://kamagrahere.lo.gs/#9o3z]kamagra oral[/url] [url=http://clomidhere.eklablog.com/#8j0o]clomid without prescription[/url] [url=https://flavors.me/sildenafil_citrate_in_connecti#8j7h]buy kamagra online with paypal in Singapore[/url] hsd yoz atarax cost strattera no prescription kamagra oral jelly cheap kamagra in uk priligy pills for sale cbm
http://www.petinsuranceuks.co.uk You might also contact a multi-specialty vet practice and an emergency clinic. If you lie to insurance companies about your dog and circumstances and they find out then all those premiums will be for nothing and you may only to find out when you need to claim.
mcm outlet
louis vuitton outlet
ugg boots
oakley sunglasses
toms shoes
cheap michael kors handbags
pandora jewelry
tiffany outlet
michael kors outlet
links of london
mulberry outlet
the north face outlet
winter jackets
ugg boots
michael kors outlet
ugg outlet
oakley sunglasses wholesale
montblanc pens
snow boots
kobe shoes
michael kors outlet
ugg outlet
ghd hair straighteners
air jordan shoes
oakley sunglasses
chanel handbags
cheap ugg boots
cheap jordans
michael kors wallet
true religion jeans
polo ralph lauren
oakley sunglasses wholesale
parajumpers coats
ray ban sunglasses
ugg uk
oakley outlet
cheap nfl jerseys
ralph lauren
cheap nba jerseys
ugg boots
cai20151026
zzzzz2018.9.1
nike outlet
yeezy boost 350
true religion jeans
ugg boots
manolo blahnik shoes
mlb jerseys
louboutin shoes
super dry
canada goose jackets
moncler outlet
Post a Comment