Halo guys balik lagi sama gua Gim!
Pada artikel kali ini gua akan membahas bagaimana cara untuk menemukan sebuah bug pada suatu website menggunakan KXSS (Known Exploitable Security Scanner). KXXS sendiri merupakan sebuah tools yang digunakan untuk memindai dan mengidentifikasi kerentanan keamanan pada aplikasi web. Alat ini berfokus pada mencari kerentanan yang sudah diketahui dan dieksploitasi oleh penyerang sebelumnya. Biasanya, KXSS akan membandingkan versi perangkat lunak dan kode aplikasi yang digunakan dengan daftar kerentanan yang sudah diketahui untuk menentukan apakah ada kerentanan yang dapat dieksploitasi.
Adapun tools kedua yang digunakan yaitu Dalfox Scanner merupakan tools otomatisasi skrip pemeriksaan keamanan sumber terbuka yang digunakan untuk mengidentifikasi kerentanan XSS (Cross-Site Scripting) dalam aplikasi web. DalFox dikembangkan oleh Hahwul, seorang peneliti keamanan dan kontributor aktif pada proyek keamanan sumber terbuka lainnya. Sedangkan XSS (Cross Site Scripting) merupakan sebuah bug/kerentanan memungkinkan penyerang menyisipkan skrip berbahaya ke dalam halaman web yang dilihat oleh pengguna lain. Dengan menggunakan DalFox, para profesional keamanan, peneliti, dan pengujian penetrasi dapat secara otomatis memindai aplikasi web untuk mencari titik lemah yang memungkinkan XSS.
Tools ketiga yang diperlukan adalah tools ParamSpider, digunakan untuk menemukan parameter website dari url yang dimasukan.
Nahh kali ini gua hanya akan membahas bagaimana cara menemukan bug xss menggunakan tools KXSS dan Dalfox Scanner.
Tutorial
Langkah pertama yang kalian perlu siapkan yaitu sebuah Terminal, seperti Terminal Linux/Ubuntu, Termux, Command Prompt atau sejenisnya. Disini saya menggunakan Terminal Kali Linux.
1. Buka Terminal kalian
Ketikan perintah berikut:
Sudo apt-get update && upgrade
sudo apt-get install golang-go
2. Setelah itu install ParamSpider
Ketikan perintah berikut:
git clone https://github.com/devanshbatham/ParamSpider
cd ParamSpider
pip3 install -r requirements.txt
3. Kemudian install tools KXSS Scanner
Ketikan perintah berikut:
go install github.com/Emoe/kxss@latest
cd .. cd go/bin sudo cp kxss /usr/bin
4. Selanjutnya menjalankan tools ParamSpider dan KXSS
Ketikan perintah berikut:
cd ..
cd Desktop
cd ParamSpider
Python3 paramspider.py -u urltarget.com
Ganti urltarget.com dengan target kalian, saya menggunakan target sebagai contoh yaitu testphp.vulnweb.com
Maka tools akan berjalan seperti pada gambar dibawah ini:
Url yang muncul pada gambar diatas merupakan url yang sudah dicari parameter nya oleh tools ParamSpider.
5. Selanjutnya kita cek url tersebut di list.txt
Ketikan perintah berikut:
cd output
cat testphp.vulnweb.com.txtMaka akan terlihat list website beserta parameter tadi yang sudah di cari oleh tools ParamSpider.
6. Selanjutnya kita akan mencari dan mengidentifikasi kerentanan website nya menggunakan KXSS.
Ketikan perintah berikut:
cat testphp.vulnweb.com.txt | kxssMaka akan terlihat website vuln kxss/xss dengan munculnya beberapa parameter, seperti pada gambar dibawah ini:
7. Selanjutnya install dalfox, sama seperti saat instalasi KXSS tadi menggunakan golang.
Ketikan perintah:
go install github.com/hahwul/dalfox/v2@latest
8. Kemudian kita eksekusi copy salah satu url yang vuln kxss tadi lalu paste kan di perintah:
dalfox url http://testphp.vulnweb.com/hpp/params.php?p=FUZZ
Maka Dalfox akan mengeksekusi dan akan terlihat url yang ada bug nya, url yang ada bug nya ditandai berwarna ungu, seperti pada gambar dibawah ini:
Copy url yang berwarna ungu tersebut, kemudian buka di browser!
Terlihat bahwa websitenya memiliki bug xss, setelah itu jika di list kxss terdapat beberapa yang vuln, kalian bisa mencobanya satu satu, setelah itu jika menemukan bug yang dampaknya critical. Kalian bisa melaporkannya kepada pihak websitenya, semoga diberi apresiasi atas bug yang kalian temukan!
Itu saja untuk tutorial kali ini. Jangan lupa lihat artikel kami di beranda yaa!
Apabila ada pertanyaan bisa chat dikolom komentar.
Terima Kasih!