SlideShare a Scribd company logo

Bypass web security dengan menggunakan teknik XST (Cross Sites Tracing)

Mark Thalib
Mark Thalib
1 of 10
Download to read offline
Bypass web security dengan menggunakan teknik XST (Cross Sites Tracing) 1. Background Information XST (Cross Sites Tracing) adalah salah satu teknik bypass web security dengan menggabungkan antara bug XSS dan Request Method TRACE yang ada pada HTTP Protocol. XSS adalah salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code om lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. l.c Sedangkan penjelasan tentang HTTP Protocol dapat anda baca pada artikel saya gm TRACE Request Method. al @ 1.1. ai sebelumnya http://virtuemagz.com/http-protocol-basic.html. riz Http “TRACE” request (berisi request line, headers, post data) dikirim ke trace yang ar k. mendukung web server, yang memberikan informasi isi request client, dengan kata lain m “TRACE” memberikan kemudahan untuk mengatakan apa yang HTTP client kirim, dan apa & yang server terima. l.c om Beberapa web server seperti Apache, IIS masih support TRACE yang didefinisikan ai dengan HTTP/1.1 atau HTTP/1.0 dan terbuka secara default. Sedikit sekali system gm administrator men-disable request method ini karena tidak mengetahui resikonya. Saat ini @ banyak system administrator melakukan pengaturan secara default karena masih dianggap tik cukup baik atau hanya karena mereka tidak memiliki pilihan untuk melakukan selain itu. ca n Lalu bagaimana cara untuk mengetahui kalau TRACE pada web server anda berstatus in d ri. “terbuka” ? Cara yang lebih mudah adalah menggunakan backtrack / kali linux. Skenario uji 1: webserver apache (XAMPP v3.1.0) diinstal secara default di windows XP SP 2 dengan IP address : 192.168.91.128. Uji coba akan dilakukan dengan menggunakan kali linux. Gambar 1. Tampilan IP Address
Kita akan mencoba dengan menggunakan tool netcat. Netcat disebut juga dengan swiss army knife pada network utility, yang memiliki kemampuan untuk melakukan “banner grabbing”. Banner grabbing adalah ketika kita connect ke suatu host dan dapat melihat informasi berharga pada host tersebut, seperti service yang berjalan, dll. Kita bisa menggunakan console yang ada pada kali linux, lalu ketikkan : 1. nc 192.168.91.128 80 (enter) maksudnya : nc : adalah untuk memanggil netcat 192.168.91.128 : adalah IP pada host target 80 : adalah port yang dituju om 2. TRACE / HTTP/1.0 (enter)(enter) ai gm TRACE : request method yang ingin diketahui statusnya l.c Maksudnya : al @ “/” : root dari web server yang kita minta gm ai l.c om & m ar k. 3. Selanjutnya akan muncul seperti gambar 2 riz HTTP/1.0 : protokol yang digunakan ca n tik @ Gambar 2. Request Method Trace terbuka in d terbuka. ri. Pada gambar 2 terlihat HTTP/1.1 200 OK menjelaskan bahwa request method TRACE 1.2. HttpOnly Cookie Option HttpOnly adalah sebuah HTTP Cookie option yang digunakan untuk informasi browser (detil browser yang support HttpOnly) dengan tidak mengijinkan bahasa scripting lain (JavaScript, VBScript, dll) untuk akses ke “document.cookie” object (normal XSS attack target). Sebagai informasi bahwa uji coba di artikel ini menggunakan browser IE6 (internet explorer 6) yang hanya ada dan berjalan di windows XP SP1. Untuk melihat versi dari internet explorer pada windows XP SP1 dapat dilakukan dengan cara klik menu help lalu pilih about internet explorer, sehingga akan muncul window seperti dibawah :
om l.c ai gm al @ Gambar 3. Versi internet explorer riz 2. Analisis ar k. Tantangannya adalah bagaimana cara untuk mendapatkan akses ke cookies data string m yang terdapat “document.cookie” yang menggunakan httpOnly. Disini kita membutuhkan l.c om & TRACE untuk membuat semuanya menjadi jelas, maksudnya TRACE akan memanggil informasi yang anda kirim dalam HTTP Request yang didalamnya ada cookie dan web ai authentication string. gm Bukan suatu hal yang mudah memaksa internet explorer untuk mengirim TRACE @ request. Sedangkan faktanya internet explorer tidak support HTTP REQUEST METHOD ca n tik selain method GET dan POST yang digunakan dalam HTML form. Untuk mengatasi batasan itu kita menggunakan teknologi client-side scripting. Untuk in d ri. membuat dan mengirim format HTTP request khusus ke target web server. Caranya? Kita harus dapat membuat suatu code dengan menggunakan ActiveX control XMLHTTP, yang akan mengirim TRACE request ke server target. Internet explorer akan mengirim general browser header secara default dan hasilnya akan tampil dalam bentuk JavaScript alert window. Apabila browser anda memiliki cookie dari target domain atau login kedalam web server menggunakan web authentication, anda akan dapat melihat cookie yang akan muncul pada alert. Perlu diketahui bahwa semua informasi sensitif masih dapat diakses walaupun melalui link SSL. Apakah browser yang dapat digunakan hanya internet explorer saja? Tentu saja tidak, Mozilla/Netscape juga dapat digunakan. TRACE Request dapat dikirim dengan memanfaatkan XMLDOM object scripting.
3. Uji Coba Masih menggunakan scenario uji diatas, kita akan melakukan uji coba XST dengan menggunakan browser internet explorer 6 yang ada pada windows XP SP1. Scenario uji 2: untuk melakukan uji coba XST, kita memerlukan sebuah website yang mengandung vulnerability XSS, untuk itu kita gunakan web DVWA, anda dapat mendownload DVWA secara gratis di url : http://sourceforge.net/projects/dvwa/ Letakkan DVWA di xampp yang telah anda install di windows XP SP1 lalu kemudian lakukan konfigurasi. om Uji coba 1 : untuk vulnerability XSS reflected dengan tingkat security low , dengan l.c menggunakan internet explorer yang ada pada windows XP SP1. gm ai 1. Masukkan script berikut ke text field untuk membuktikan adanya vulnerability XSS: l.c om & m ar k. riz al @ <script>alert(document.cookie)</script> in d ri. ca n tik @ gm ai Gambar 4. text fied untuk memasukkan script XSS Gambar 5. hasil setelah script XSS di submit Pada gambar 5 sessionid dapat terlihat, sehingga kita bisa melakukan uji coba script XST.
2. Selanjutnya kita bisa memasukkan script XST seperti berikut : <script> var x = new ActiveXObject('Microsoft.XMLHTTP'); // khusus IE x.open('TRACE', '/dvwa', false); x.setRequestHeader('Max-Forwards', '0'); x.send(); // khusus IE alert(x.responseText); m ar k. riz al @ gm ai l.c om </script> l.c om & Gambar 6. hasil setelah script XST di submit Apabila kita perhatikan cookie nya, cookie yang dihasilkan sama. gm ai 3. Untuk mencoba cookie yang kita dapatkan apakah memang bisa digunakan, kita @ akan menginstall firefox 25.0 dan ditambah dengan addons web developer in d ri. ca n tik 4. Gambar 7. Addons web developer
4. Klik toolbar cookies dan edit value yang terlihat di kotak merah, dengan cookie yang m ar k. riz al @ gm ai l.c om kita dapatkan tadi l.c om & Gambar 8. Window untuk edit cookie in d ri. ca n tik @ gm ai 5. Lalu kemudian jalankan kembali dvwa Gambar 9. Masuk DVWA tanpa login.
Ujicoba 2 : dengan menggunakan Mozilla firefox 1.0.7 Masukkan code berikut : <script> var x = new XMLHttpRequest(); // khusus firefox x.open('TRACE', '/dvwa', false); x.setRequestHeader('Max-Forwards', '0'); x.send(""); // khusus firefox alert(x.responseText); </script> l.c om & m ar k. riz al @ gm ai l.c om Maka hasilnya akan tampak seperti pada gambar berikut : in d ri. ca n tik @ gm ai Gambar 10. Ujicoba XST pada firefox
Kemudian kita akan mencoba untuk memasukkan cookie yang kita dapatkan, cara untuk l.c om & m ar k. riz al @ gm ai l.c om melakukan edit cookie sama dengan yang dibahas diatas : in d ri. ca n tik @ gm ai Gambar 11. Window untuk edit cookie
4. Solusi Letakkan konfigurasi tambahan tersebut di bagian baris paling bawah di dalam file httpd.conf, kemudian jangan lupa restart service apache nya. Sekarang kita melakukan uji coba sekali lagi untuk menguji apakah solusi ini berhasil atau in d ri. ca n tik @ gm ai l.c om & m ar k. riz al @ gm ai l.c om tidak dengan langkah-langkah yang sama seperti yang sudah kita lakukan di atas ;) Gambar 12. Solusi script untuk TRACE
om l.c gm ai Gambar 13. Solusi TRACE berhasil al @ Dan ternyata hasil nya sudah berbeda, tampak pada gambar 13 bahwa kita sudah tidak bisa ar k. riz bermain-main lagi dengan si “TRACE” ini . m 5. Kesimpulan & Celah XST / TRACE hanya bisa berhasil di eksekusi pada browser Internet Explorer versi 6 l.c om yang ada di Windows XP SP 1, sedangkan firefox hanya sampai di versi 1.0.7, dari Windows ai XP SP 1 s/d SP 3 sukses semuanya . gm Untuk berikutnya jika ingin bermain-main dengan browser dan system operasi (OS) selain di @ artikel ini, bisa di lakukan dengan menggunakan metode seperti di atas. tik Jadi inti nya, selalu melakukan update terhadap versi browser yang selalu kita gunakan, ca n agar tidak kena dampak dari celah ini jika apache nya belum di patch, walaupun setelah in d ri. update versi browser nya membuat laptop / PC kita semakin lambat, karena rata-rata browser terbaru / modern menggunakan resource memory yang cukup besar , seperti pepatah yang mengatakan: “Keamanan berbanding terbalik dengan kenyamanan ”. Penulis: - Indri (indri.cantik@gmail.com) - Mark (mark.rizal@gmail.com)

Recommended

Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)Mark Thalib
 
SSL
SSLSSL
SSL
Badrul Alam bulon
 
DVWA BruCON Workshop
DVWA BruCON WorkshopDVWA BruCON Workshop
DVWA BruCON Workshop
testuser1223
 
Cehv8 - Module 02: footprinting and reconnaissance.
Cehv8 - Module 02: footprinting and reconnaissance.Cehv8 - Module 02: footprinting and reconnaissance.
Cehv8 - Module 02: footprinting and reconnaissance.
Vuz Dở Hơi
 
Virus and malware presentation
Virus and malware presentationVirus and malware presentation
Virus and malware presentation
Amjad Bhutto
 
DVWA(Damn Vulnerabilities Web Application)
DVWA(Damn Vulnerabilities Web Application)DVWA(Damn Vulnerabilities Web Application)
DVWA(Damn Vulnerabilities Web Application)
Soham Kansodaria
 
Cross Site Scripting
Cross Site ScriptingCross Site Scripting
Cross Site ScriptingAli Mattash
 
Host-based Security
Host-based SecurityHost-based Security
Host-based Security
secdevmel
 

Recommended

Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)Mark Thalib
 
SSL
SSLSSL
SSL
Badrul Alam bulon
 
DVWA BruCON Workshop
DVWA BruCON WorkshopDVWA BruCON Workshop
DVWA BruCON Workshop
testuser1223
 
Cehv8 - Module 02: footprinting and reconnaissance.
Cehv8 - Module 02: footprinting and reconnaissance.Cehv8 - Module 02: footprinting and reconnaissance.
Cehv8 - Module 02: footprinting and reconnaissance.
Vuz Dở Hơi
 
Virus and malware presentation
Virus and malware presentationVirus and malware presentation
Virus and malware presentation
Amjad Bhutto
 
DVWA(Damn Vulnerabilities Web Application)
DVWA(Damn Vulnerabilities Web Application)DVWA(Damn Vulnerabilities Web Application)
DVWA(Damn Vulnerabilities Web Application)
Soham Kansodaria
 
Cross Site Scripting
Cross Site ScriptingCross Site Scripting
Cross Site ScriptingAli Mattash
 
Host-based Security
Host-based SecurityHost-based Security
Host-based Security
secdevmel
 
Web Application Security and Awareness
Web Application Security and AwarenessWeb Application Security and Awareness
Web Application Security and Awareness
Abdul Rahman Sherzad
 
Web security
Web securityWeb security
Web security
kareem zock
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Brian Huff
 
Web PenTest Sample Report
Web PenTest Sample ReportWeb PenTest Sample Report
Web PenTest Sample ReportOctogence
 
Email security
Email securityEmail security
Email security
Ahmed EL-KOSAIRY
 
Introduction to Web Application Penetration Testing
Introduction to Web Application Penetration TestingIntroduction to Web Application Penetration Testing
Introduction to Web Application Penetration Testing
Anurag Srivastava
 
CYBER SECURITY
CYBER SECURITYCYBER SECURITY
CYBER SECURITY
Mohammad Shakirul islam
 
Network security
Network securityNetwork security
Network security
Nkosinathi Lungu
 
4.2.1 computer security risks
4.2.1 computer security risks4.2.1 computer security risks
4.2.1 computer security riskshazirma
 
Code injection
Code injectionCode injection
Code injectionGayatri Patel
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applications
Niyas Nazar
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network SecurityJohn Ely Masculino
 
Phising
PhisingPhising
PhisingSayantan Sur
 
cyber security notes
cyber security notescyber security notes
cyber security notes
SHIKHAJAIN163
 
Application Security
Application SecurityApplication Security
Application Securityflorinc
 
Security Testing Training With Examples
Security Testing Training With ExamplesSecurity Testing Training With Examples
Security Testing Training With Examples
Alwin Thayyil
 
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya MorimotoSQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
Pichaya Morimoto
 
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdf
SouvikRoy114738
 
Cyber security
Cyber securityCyber security
Cyber security
Sabir Raja
 
Pentesting Using Burp Suite
Pentesting Using Burp SuitePentesting Using Burp Suite
Pentesting Using Burp Suite
jasonhaddix
 
2014-34. Proxy Server
2014-34. Proxy Server2014-34. Proxy Server
2014-34. Proxy Server
Syiroy Uddin
 
Zainal chatting
Zainal chattingZainal chatting
Zainal chatting
Rizal Yugo Prasetyo
 

More Related Content

What's hot

Web Application Security and Awareness
Web Application Security and AwarenessWeb Application Security and Awareness
Web Application Security and Awareness
Abdul Rahman Sherzad
 
Web security
Web securityWeb security
Web security
kareem zock
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Brian Huff
 
Web PenTest Sample Report
Web PenTest Sample ReportWeb PenTest Sample Report
Web PenTest Sample ReportOctogence
 
Email security
Email securityEmail security
Email security
Ahmed EL-KOSAIRY
 
Introduction to Web Application Penetration Testing
Introduction to Web Application Penetration TestingIntroduction to Web Application Penetration Testing
Introduction to Web Application Penetration Testing
Anurag Srivastava
 
CYBER SECURITY
CYBER SECURITYCYBER SECURITY
CYBER SECURITY
Mohammad Shakirul islam
 
Network security
Network securityNetwork security
Network security
Nkosinathi Lungu
 
4.2.1 computer security risks
4.2.1 computer security risks4.2.1 computer security risks
4.2.1 computer security riskshazirma
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applications
Niyas Nazar
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network SecurityJohn Ely Masculino
 
cyber security notes
cyber security notescyber security notes
cyber security notes
SHIKHAJAIN163
 
Application Security
Application SecurityApplication Security
Application Securityflorinc
 
Security Testing Training With Examples
Security Testing Training With ExamplesSecurity Testing Training With Examples
Security Testing Training With Examples
Alwin Thayyil
 
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya MorimotoSQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
Pichaya Morimoto
 
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdf
SouvikRoy114738
 
Cyber security
Cyber securityCyber security
Cyber security
Sabir Raja
 
Pentesting Using Burp Suite
Pentesting Using Burp SuitePentesting Using Burp Suite
Pentesting Using Burp Suite
jasonhaddix
 

What's hot (20)

Web Application Security and Awareness
Web Application Security and AwarenessWeb Application Security and Awareness
Web Application Security and Awareness
 
Web security
Web securityWeb security
Web security
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)
 
Web PenTest Sample Report
Web PenTest Sample ReportWeb PenTest Sample Report
Web PenTest Sample Report
 
Email security
Email securityEmail security
Email security
 
Introduction to Web Application Penetration Testing
Introduction to Web Application Penetration TestingIntroduction to Web Application Penetration Testing
Introduction to Web Application Penetration Testing
 
CYBER SECURITY
CYBER SECURITYCYBER SECURITY
CYBER SECURITY
 
Network security
Network securityNetwork security
Network security
 
4.2.1 computer security risks
4.2.1 computer security risks4.2.1 computer security risks
4.2.1 computer security risks
 
Code injection
Code injectionCode injection
Code injection
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applications
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network Security
 
Phising
PhisingPhising
Phising
 
cyber security notes
cyber security notescyber security notes
cyber security notes
 
Application Security
Application SecurityApplication Security
Application Security
 
Security Testing Training With Examples
Security Testing Training With ExamplesSecurity Testing Training With Examples
Security Testing Training With Examples
 
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya MorimotoSQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
SQL Injection 101 : It is not just about ' or '1'='1 - Pichaya Morimoto
 
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdf
 
Cyber security
Cyber securityCyber security
Cyber security
 
Pentesting Using Burp Suite
Pentesting Using Burp SuitePentesting Using Burp Suite
Pentesting Using Burp Suite
 

Similar to Bypass web security dengan menggunakan teknik XST (Cross Sites Tracing)

2014-34. Proxy Server
2014-34. Proxy Server2014-34. Proxy Server
2014-34. Proxy Server
Syiroy Uddin
 
Zainal chatting
Zainal chattingZainal chatting
Zainal chatting
Rizal Yugo Prasetyo
 
Konfigurasi web server
Konfigurasi web serverKonfigurasi web server
Konfigurasi web server
Achmad Sayfudin
 
Implementasi otentikasi pada squid dalam mode transparent proxy
Implementasi otentikasi pada squid dalam mode transparent proxyImplementasi otentikasi pada squid dalam mode transparent proxy
Implementasi otentikasi pada squid dalam mode transparent proxy
Panggih Supraja
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasi
windi rohmaheny
 
Dokumentasi Gammu
Dokumentasi GammuDokumentasi Gammu
Dokumentasi Gammu
Robby Firmansyah
 
Final project virtualhost jannah
Final project virtualhost jannahFinal project virtualhost jannah
Final project virtualhost jannah
rizki nurjannah
 
Modul 8 squid
Modul 8 squidModul 8 squid
Modul 8 squid
Sri Yuyaxdab
 
Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4
James Montolalu
 
Kajian kes datagram analisis dengan wireshark
Kajian kes datagram analisis dengan wiresharkKajian kes datagram analisis dengan wireshark
Kajian kes datagram analisis dengan wiresharkMad Qiyud
 
Menciptakan Sertifikat SSL dengan OpenSSL
Menciptakan Sertifikat SSL dengan OpenSSLMenciptakan Sertifikat SSL dengan OpenSSL
Menciptakan Sertifikat SSL dengan OpenSSLMunir Putra
 
Ssl presentation verindo_rev_sholeh
Ssl presentation verindo_rev_sholehSsl presentation verindo_rev_sholeh
Ssl presentation verindo_rev_sholehMuchammad Sholeh
 
Konfigurasi mikrotik
Konfigurasi mikrotikKonfigurasi mikrotik
Konfigurasi mikrotik
Hadi Nursyam
 
Pembahasan UKK TKJ Paket 1
Pembahasan UKK TKJ Paket 1Pembahasan UKK TKJ Paket 1
Pembahasan UKK TKJ Paket 1
Dt Yunizaldi
 
Cara mengerjakan ukk
Cara mengerjakan ukkCara mengerjakan ukk
Cara mengerjakan ukk
actorterbaik
 
Presentasi (2).pptx
Presentasi (2).pptxPresentasi (2).pptx
Presentasi (2).pptx
fakialbrother
 
Tutorial membuat Certificate Authority menggunakan Virtual host + ssl
Tutorial membuat Certificate Authority menggunakan Virtual host + sslTutorial membuat Certificate Authority menggunakan Virtual host + ssl
Tutorial membuat Certificate Authority menggunakan Virtual host + ssl
Suci Rahmawati
 
Putri nadyafazri(tutorial virtual host dan ssl)
Putri nadyafazri(tutorial virtual host dan ssl)Putri nadyafazri(tutorial virtual host dan ssl)
Putri nadyafazri(tutorial virtual host dan ssl)
Putri nadya Fazri
 

Similar to Bypass web security dengan menggunakan teknik XST (Cross Sites Tracing) (20)

2014-34. Proxy Server
2014-34. Proxy Server2014-34. Proxy Server
2014-34. Proxy Server
 
Zainal chatting
Zainal chattingZainal chatting
Zainal chatting
 
Konfigurasi web server
Konfigurasi web serverKonfigurasi web server
Konfigurasi web server
 
Implementasi otentikasi pada squid dalam mode transparent proxy
Implementasi otentikasi pada squid dalam mode transparent proxyImplementasi otentikasi pada squid dalam mode transparent proxy
Implementasi otentikasi pada squid dalam mode transparent proxy
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasi
 
Dokumentasi Gammu
Dokumentasi GammuDokumentasi Gammu
Dokumentasi Gammu
 
Final project virtualhost jannah
Final project virtualhost jannahFinal project virtualhost jannah
Final project virtualhost jannah
 
Modul 8 squid
Modul 8 squidModul 8 squid
Modul 8 squid
 
Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4
 
Kajian kes datagram analisis dengan wireshark
Kajian kes datagram analisis dengan wiresharkKajian kes datagram analisis dengan wireshark
Kajian kes datagram analisis dengan wireshark
 
Menciptakan Sertifikat SSL dengan OpenSSL
Menciptakan Sertifikat SSL dengan OpenSSLMenciptakan Sertifikat SSL dengan OpenSSL
Menciptakan Sertifikat SSL dengan OpenSSL
 
Ssl presentation verindo_rev_sholeh
Ssl presentation verindo_rev_sholehSsl presentation verindo_rev_sholeh
Ssl presentation verindo_rev_sholeh
 
Konfigurasi mikrotik
Konfigurasi mikrotikKonfigurasi mikrotik
Konfigurasi mikrotik
 
Pembahasan UKK TKJ Paket 1
Pembahasan UKK TKJ Paket 1Pembahasan UKK TKJ Paket 1
Pembahasan UKK TKJ Paket 1
 
Cara mengerjakan ukk
Cara mengerjakan ukkCara mengerjakan ukk
Cara mengerjakan ukk
 
Presentasi (2).pptx
Presentasi (2).pptxPresentasi (2).pptx
Presentasi (2).pptx
 
Tutorial membuat Certificate Authority menggunakan Virtual host + ssl
Tutorial membuat Certificate Authority menggunakan Virtual host + sslTutorial membuat Certificate Authority menggunakan Virtual host + ssl
Tutorial membuat Certificate Authority menggunakan Virtual host + ssl
 
Jeni Intro2 Bab10 Jaringan
Jeni Intro2 Bab10 JaringanJeni Intro2 Bab10 Jaringan
Jeni Intro2 Bab10 Jaringan
 
Putri nadyafazri(tutorial virtual host dan ssl)
Putri nadyafazri(tutorial virtual host dan ssl)Putri nadyafazri(tutorial virtual host dan ssl)
Putri nadyafazri(tutorial virtual host dan ssl)
 
Cara setting jaringan warnet
Cara setting jaringan warnetCara setting jaringan warnet
Cara setting jaringan warnet
 

Bypass web security dengan menggunakan teknik XST (Cross Sites Tracing)

  • 1. Bypass web security dengan menggunakan teknik XST (Cross Sites Tracing) 1. Background Information XST (Cross Sites Tracing) adalah salah satu teknik bypass web security dengan menggabungkan antara bug XSS dan Request Method TRACE yang ada pada HTTP Protocol. XSS adalah salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code om lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. l.c Sedangkan penjelasan tentang HTTP Protocol dapat anda baca pada artikel saya gm TRACE Request Method. al @ 1.1. ai sebelumnya http://virtuemagz.com/http-protocol-basic.html. riz Http “TRACE” request (berisi request line, headers, post data) dikirim ke trace yang ar k. mendukung web server, yang memberikan informasi isi request client, dengan kata lain m “TRACE” memberikan kemudahan untuk mengatakan apa yang HTTP client kirim, dan apa & yang server terima. l.c om Beberapa web server seperti Apache, IIS masih support TRACE yang didefinisikan ai dengan HTTP/1.1 atau HTTP/1.0 dan terbuka secara default. Sedikit sekali system gm administrator men-disable request method ini karena tidak mengetahui resikonya. Saat ini @ banyak system administrator melakukan pengaturan secara default karena masih dianggap tik cukup baik atau hanya karena mereka tidak memiliki pilihan untuk melakukan selain itu. ca n Lalu bagaimana cara untuk mengetahui kalau TRACE pada web server anda berstatus in d ri. “terbuka” ? Cara yang lebih mudah adalah menggunakan backtrack / kali linux. Skenario uji 1: webserver apache (XAMPP v3.1.0) diinstal secara default di windows XP SP 2 dengan IP address : 192.168.91.128. Uji coba akan dilakukan dengan menggunakan kali linux. Gambar 1. Tampilan IP Address
  • 2. Kita akan mencoba dengan menggunakan tool netcat. Netcat disebut juga dengan swiss army knife pada network utility, yang memiliki kemampuan untuk melakukan “banner grabbing”. Banner grabbing adalah ketika kita connect ke suatu host dan dapat melihat informasi berharga pada host tersebut, seperti service yang berjalan, dll. Kita bisa menggunakan console yang ada pada kali linux, lalu ketikkan : 1. nc 192.168.91.128 80 (enter) maksudnya : nc : adalah untuk memanggil netcat 192.168.91.128 : adalah IP pada host target 80 : adalah port yang dituju om 2. TRACE / HTTP/1.0 (enter)(enter) ai gm TRACE : request method yang ingin diketahui statusnya l.c Maksudnya : al @ “/” : root dari web server yang kita minta gm ai l.c om & m ar k. 3. Selanjutnya akan muncul seperti gambar 2 riz HTTP/1.0 : protokol yang digunakan ca n tik @ Gambar 2. Request Method Trace terbuka in d terbuka. ri. Pada gambar 2 terlihat HTTP/1.1 200 OK menjelaskan bahwa request method TRACE 1.2. HttpOnly Cookie Option HttpOnly adalah sebuah HTTP Cookie option yang digunakan untuk informasi browser (detil browser yang support HttpOnly) dengan tidak mengijinkan bahasa scripting lain (JavaScript, VBScript, dll) untuk akses ke “document.cookie” object (normal XSS attack target). Sebagai informasi bahwa uji coba di artikel ini menggunakan browser IE6 (internet explorer 6) yang hanya ada dan berjalan di windows XP SP1. Untuk melihat versi dari internet explorer pada windows XP SP1 dapat dilakukan dengan cara klik menu help lalu pilih about internet explorer, sehingga akan muncul window seperti dibawah :
  • 3. om l.c ai gm al @ Gambar 3. Versi internet explorer riz 2. Analisis ar k. Tantangannya adalah bagaimana cara untuk mendapatkan akses ke cookies data string m yang terdapat “document.cookie” yang menggunakan httpOnly. Disini kita membutuhkan l.c om & TRACE untuk membuat semuanya menjadi jelas, maksudnya TRACE akan memanggil informasi yang anda kirim dalam HTTP Request yang didalamnya ada cookie dan web ai authentication string. gm Bukan suatu hal yang mudah memaksa internet explorer untuk mengirim TRACE @ request. Sedangkan faktanya internet explorer tidak support HTTP REQUEST METHOD ca n tik selain method GET dan POST yang digunakan dalam HTML form. Untuk mengatasi batasan itu kita menggunakan teknologi client-side scripting. Untuk in d ri. membuat dan mengirim format HTTP request khusus ke target web server. Caranya? Kita harus dapat membuat suatu code dengan menggunakan ActiveX control XMLHTTP, yang akan mengirim TRACE request ke server target. Internet explorer akan mengirim general browser header secara default dan hasilnya akan tampil dalam bentuk JavaScript alert window. Apabila browser anda memiliki cookie dari target domain atau login kedalam web server menggunakan web authentication, anda akan dapat melihat cookie yang akan muncul pada alert. Perlu diketahui bahwa semua informasi sensitif masih dapat diakses walaupun melalui link SSL. Apakah browser yang dapat digunakan hanya internet explorer saja? Tentu saja tidak, Mozilla/Netscape juga dapat digunakan. TRACE Request dapat dikirim dengan memanfaatkan XMLDOM object scripting.
  • 4. 3. Uji Coba Masih menggunakan scenario uji diatas, kita akan melakukan uji coba XST dengan menggunakan browser internet explorer 6 yang ada pada windows XP SP1. Scenario uji 2: untuk melakukan uji coba XST, kita memerlukan sebuah website yang mengandung vulnerability XSS, untuk itu kita gunakan web DVWA, anda dapat mendownload DVWA secara gratis di url : http://sourceforge.net/projects/dvwa/ Letakkan DVWA di xampp yang telah anda install di windows XP SP1 lalu kemudian lakukan konfigurasi. om Uji coba 1 : untuk vulnerability XSS reflected dengan tingkat security low , dengan l.c menggunakan internet explorer yang ada pada windows XP SP1. gm ai 1. Masukkan script berikut ke text field untuk membuktikan adanya vulnerability XSS: l.c om & m ar k. riz al @ <script>alert(document.cookie)</script> in d ri. ca n tik @ gm ai Gambar 4. text fied untuk memasukkan script XSS Gambar 5. hasil setelah script XSS di submit Pada gambar 5 sessionid dapat terlihat, sehingga kita bisa melakukan uji coba script XST.
  • 5. 2. Selanjutnya kita bisa memasukkan script XST seperti berikut : <script> var x = new ActiveXObject('Microsoft.XMLHTTP'); // khusus IE x.open('TRACE', '/dvwa', false); x.setRequestHeader('Max-Forwards', '0'); x.send(); // khusus IE alert(x.responseText); m ar k. riz al @ gm ai l.c om </script> l.c om & Gambar 6. hasil setelah script XST di submit Apabila kita perhatikan cookie nya, cookie yang dihasilkan sama. gm ai 3. Untuk mencoba cookie yang kita dapatkan apakah memang bisa digunakan, kita @ akan menginstall firefox 25.0 dan ditambah dengan addons web developer in d ri. ca n tik 4. Gambar 7. Addons web developer
  • 6. 4. Klik toolbar cookies dan edit value yang terlihat di kotak merah, dengan cookie yang m ar k. riz al @ gm ai l.c om kita dapatkan tadi l.c om & Gambar 8. Window untuk edit cookie in d ri. ca n tik @ gm ai 5. Lalu kemudian jalankan kembali dvwa Gambar 9. Masuk DVWA tanpa login.
  • 7. Ujicoba 2 : dengan menggunakan Mozilla firefox 1.0.7 Masukkan code berikut : <script> var x = new XMLHttpRequest(); // khusus firefox x.open('TRACE', '/dvwa', false); x.setRequestHeader('Max-Forwards', '0'); x.send(""); // khusus firefox alert(x.responseText); </script> l.c om & m ar k. riz al @ gm ai l.c om Maka hasilnya akan tampak seperti pada gambar berikut : in d ri. ca n tik @ gm ai Gambar 10. Ujicoba XST pada firefox
  • 8. Kemudian kita akan mencoba untuk memasukkan cookie yang kita dapatkan, cara untuk l.c om & m ar k. riz al @ gm ai l.c om melakukan edit cookie sama dengan yang dibahas diatas : in d ri. ca n tik @ gm ai Gambar 11. Window untuk edit cookie
  • 9. 4. Solusi Letakkan konfigurasi tambahan tersebut di bagian baris paling bawah di dalam file httpd.conf, kemudian jangan lupa restart service apache nya. Sekarang kita melakukan uji coba sekali lagi untuk menguji apakah solusi ini berhasil atau in d ri. ca n tik @ gm ai l.c om & m ar k. riz al @ gm ai l.c om tidak dengan langkah-langkah yang sama seperti yang sudah kita lakukan di atas ;) Gambar 12. Solusi script untuk TRACE
  • 10. om l.c gm ai Gambar 13. Solusi TRACE berhasil al @ Dan ternyata hasil nya sudah berbeda, tampak pada gambar 13 bahwa kita sudah tidak bisa ar k. riz bermain-main lagi dengan si “TRACE” ini . m 5. Kesimpulan & Celah XST / TRACE hanya bisa berhasil di eksekusi pada browser Internet Explorer versi 6 l.c om yang ada di Windows XP SP 1, sedangkan firefox hanya sampai di versi 1.0.7, dari Windows ai XP SP 1 s/d SP 3 sukses semuanya . gm Untuk berikutnya jika ingin bermain-main dengan browser dan system operasi (OS) selain di @ artikel ini, bisa di lakukan dengan menggunakan metode seperti di atas. tik Jadi inti nya, selalu melakukan update terhadap versi browser yang selalu kita gunakan, ca n agar tidak kena dampak dari celah ini jika apache nya belum di patch, walaupun setelah in d ri. update versi browser nya membuat laptop / PC kita semakin lambat, karena rata-rata browser terbaru / modern menggunakan resource memory yang cukup besar , seperti pepatah yang mengatakan: “Keamanan berbanding terbalik dengan kenyamanan ”. Penulis: - Indri (indri.cantik@gmail.com) - Mark (mark.rizal@gmail.com)