Pernah menemukan kondisi dimana suatu browser udah terbuka pada suatu situs yang memerlukan login, dan asiknya lagi username dan password telah diisi? Jika sering main ke warnet2, hal ini pasti sering ditemui. Enak tinggal klik login maka kita akan masuk ke halaman user yang telah diisi tersebut, selain itu pasti juga pernah berpikiran ini passwordnya apa ya… Ya kita tidak apa sebenarnya password tersebut, karena semua karakter pada password tersebut telah diganti dengan tanda bintang atau karakter lainnya. Untuk menjebol password berbintang tersebut sebenarnya banyak software tersedia (ini saya lakukan dulu ketika menemukan kondisi seperti ini), namun sebenarnya ada trik yang jauh lebih sederhana, yaitu dengan sedikit pengetahuan tentang programming (berbahagialah para programmer), terutama javascript.
Ya dengan sedikit pengetahuan saja, hal ini bisa dilakukan dengan mudah, bahkan saya menemukan trik ini dengan browsing sebentar tentang javascript, mencoba dan berhasil.
Kondisi ketika browser telah dibuka, dengan password dan username telah diisi.
Tekan Ctrl-u atau klik kanan dan pilih View Page Source, di Tab/Window baru akan ada source code dari halaman yang kita lihat tersebut.
Carilah kata tag <form, bisa dengan menggunakan fasilitas Find/Search pada browser, kemudian cari kata id, kata sesudah tanda samadengan(=) adalah id dari form tersebut, misalkan tertulis id=”login_form”, berarti id form tersebut adalah login_form.
Masih di dalam tag form tersebut carilah id dari textbox untuk input passwordnya, biasanya pass atau pwd.
Pada kasus ini saya menggunakan facebook sebagai contoh, dimana form idnya adalah “login_form” dan password idnya adalah “pass”.
Kita telah punya 2 hal yang sangat penting untuk menjebol password tersebut, sekarang disisi programmingnya yaitu menggunakan javascript. Sintaks yang kita gunakan adalah
document.form["form_id"].text_id.value
Sekarang ganti masing-masing “id” diatas dengan yang telah kita temukan tadi, kemudian ketikkan langsung di Url Address browser seperti ini
javascript:alert(document.forms["login_form"].pass.value)
kemudian tekan enter, maka akan keluar sebuah warning yang berisi password yang disembunyikan tersebut. Mudah bukan.!!
Untuk form selain menggunakan id bisa juga dengan nomor index form tersebut (diawali dengan 0), jadi jika formnya adalah form pertama dalam halaman tersebut berarti indexnya adalah 0, maka kode diatas bisa diganti seperti ini:
javascript:alert(document.forms[0].pass.value)
Ide ini muncul ketika W belajar web programming dengan perl dan python, W melihat adanya fungsi dari module yang tersedia untuk mengirimkan atau menetapkan nilai pada suatu form yang ingin kita isi dengan menggunakan skrip. Dengan fungsi ini melakukan submit pada suatu web bisa dilakukan dengan mudah via command line, atau yang lebih sadis adalah bruteforce pada situs tersebut. Tidak salah bruteforce, jadi sebaiknya gunakanlah password yang menggunakan kombinasi angka, huruf besar dan kecil, dan juga simbol-simbol ( but please dont use freemason symbol).
0 comments:
Post a Comment