Pertama-tama tool yg kita butuhkan adalah webscarab (atau program yg sejenis)
Code:
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Code:
http://www.nowrap.de/download/flare06setup.exe
Untuk mencobanya mari kita cari di google web yg menggunakan flash / actionscript (.swf) sebagai halaman login nya. Memang agak susah mencarinya. Tapi ada web yg gw temukan yg bisa dijadikan sbg percobaan
Web yg akan kita uji coba adalah
Code:
http://www.gobeeinc.com/login.swf
1. Jalankan webscrap untuk memonitor traffic. Lalu coba masukkan sembarang username dan password ke dalam login web diatas. Pasti akan invalid, tetapi bila kita liat di webscrap tidak ada data yg dikirim kembali ke server.
Kenapa ?? karena seseungguhnya username dan password ada didalam file .swf tsb
Oleh karena itu mari kita download file .swf tsb. Klik link web lalu copas ke IDM / download manager.
2. Setelah di download, buka windows explorer, lalu klik kanan file login.swf tsb, pilih Decompile
Maka seketika akan muncul file login.flr disebelahnya.
Buka file login.flr tsb dgn cara klik kanan open, lalu pilih select the program from a list, kemudian cari dan pilih notepad.
Setelah dibuka di notepad, coba scroll ke paling bawah (lihat gambar). Disitu kita akan menemukan banyak username dan password yg tersimpan dalam file login.swf ini beserta target link nya
Kalo gw rangkum :
Code:
['gobeerep', 'endo', 'http://www.gobeeinc.com/a1b7j6/a1d4g6h7.html'], ['gobeeifm', 'hunter', 'http://www.gobeeinc.com/a1b7j6/k9j5h8q2.html'], ['gobeeac', 'dulce', 'http://www.gobeeinc.com/a1b7j6/n7e9w2g7.html'], ['gobeeret', 'retail', 'http://www.gobeeinc.com/a1b7j6/h2j7f2v8.html'], ['gobeeinc5', 'x1f9d8y7', 'http://www.gobeeinc.com/a1b7j6/x1f9d8y7.html'], ['gobeeinc6', 'v6k1s9e6', 'http://www.gobeeinc.com/a1b7j6/v6k1s9e6.html'], ['gobeeinc7', 't1q4a8z3', 'http://www.gobeeinc.com/a1b7j6/t1q4a8z3.html'], ['gobeeinc8', 'p1u5j6m1', 'http://www.gobeeinc.com/a1b7j6/p1u5j6m1.html'], ['gobeeinc9', 'b4p5w9s6', 'http://www.gobeeinc.com/a1b7j6/b4p5w9s6.html'], ['gobeeinc10', 'g8d4w5k2', 'http://www.gobeeinc.com/a1b7j6/g8d4w5k2.html']];
Misal yg paling atas gobeerep dan endo, gobeerep adalah username nya dan endo adalah passwordnya, dan link yg disebelahnya adalah target link nya
. Begitu pula dengan yg lainnya.Lalu coba masukkan user pass tsb kedalam login page di web tsb. Dan horeee... kita bisa masuk ke web tsb
Selamat mencoba
ini ada beberapa contoh web yg bisa di uji coba :
Code:
http://www.coloradonursingcenter.org/placement/login.htm http://www.gforceprints.com/login.html http://www.rvcds.org/employees/login.html http://www.sieps.ch/SIEPS%20admin%20login.html http://www.ca-hss.com/sf/client/login/login.swf http://fullterrain.com/login.html http://www.andamanstudio.asia/client-login.html http://www.ticketsforgroups.com/login?login http://www.angelic-nails.com/members/login.html
Sumber
0 komentar:
Posting Komentar