XSS : undi.info - mobile (PRU13)

Assalamualaikum dan salam sejahtera, nampaknya PRU13 telah berlalu dan sekarang semua tengah sibuk menunggu keputusan rasmi. Aku sendiri pun teringin nak tahu keputusan pilihan raya umum ke-13 (PRU13) ni, jadi aku carilah laman sesawang yang ada sediakan maklumat tentang undian tersebut. Jadi terjumpalah aku dengan laman sesawang undi.info ni melalui carian index google.

Melalui logo tersebut kita tahu yang laman ini ialah sebahagian daripada rangkaian malaysiakini. Aku cuba memasukkan kata kunci carian ke dalam kotak carian yang disediakan. Wah, kagum cepat betul data-data yang dicari dipaparkan kepada pengguna. Sangat responsif.

Terasa ingin untuk cuba pula tahap sekuriti. Kebiasaannya, sekiranya ada kotak carian maka teknik XSS adalah paling sesuai untuk di aplikasikan. Oleh sedemikian, aku terus mencuba memasukkan arahan XSS tahap biasa. Hurm.. nampaknya tiada apa yang menarik. Mungkin mereka sudah menapis input daripada pengguna. 

Oleh itu, aku terus mencuba menggunakan XSS tahap yang lebih tinggi dengan memasukan XSS  mengandungi unicode yang  telah ditukarkan kepada char dan akhirnya, wo0t! wo0t! Berjaya jua untuk dapatkan hasil XSS tersebut.

XSS di halaman carian undi.info

Brikut ialah arahan XSS yang aku  masukkan. Boleh kaji sendiri tentang keperluan dan kenapa aku gunakan arahan XSS berjenis ini.:

--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(116,101,115,116,105,110,103,32,88,83,83))
</SCRIPT>

Baiklah, itu sahaja XSS yang aku buat, kemudian aku biarkan sahaja . Lagipun XSS ni berjenis client side, maknaya tak berapa bahaya. sampai di sini sahaja dahulu.. Wassalam ~