Nuffnang XSS Vulnerability!
Alright.. Entri kali ni pasal XSS vuln yg aku jumpa dekat Nuffnang.. Nk tau apa tu XSS? Boleh refer dekat SINI (wikipedia).. Mcm mna aku leh jumpa XSS vuln dekat site nuffnang? Mula2 tu si XShimeX detect XSS vuln dekat blog aku ni.. Theme ni pnya search.php ada coding yg x sesuai yg bila2 masa jer orang boleh inject dengan malicious code or script.. 
Then aku masuk cpanel, compress theme ni and bagi dekat XShimeX.. Dia tlong patchkan code yg x sesuai tu dengan coding yg lebih safe.. Then aku try balik XSS Alert dekat blog aku ni.. Tengok2 ada lagi kuar XSS alert.. Aku pelik gak.. Dah patch pun ada lagi error.. Mana plak datang ni kan? Aku ckp kt XShimeX yg ada lagi XSS Alert.. Try dekat Internet Explorer pun ada.. Dekat Opera pun ada.. Then si XShimeX cari balik kt mana.. X der pun coding yg bug.. 
Then aku perati betol2.. Alert XSS yg kuar tu dari “http://synad2.nuffnang.com.my“.. Then aku ckp dekat XShimeX yg alert tu bukan dari site aku tapi dari nuffnang.. XSS dari ads dekat sidebar aku.. Then shime mintak code nuffnang yg aku letak dekat sidebar.. Aku bagi la.. Mmg x der error dekat situ.. Tp error dari site Nuffnang.. Aku agak kalau error XSS dari site Nuffnang ni, kalau lambat bagitau staff Nuffnang aku rasa mmg ada site yg dah kena hack sbb ads dekat nuffnang tu bukan dekat site aku sorg jer yg kuar btol x? 
Bawah ni aku letak 2 screenshot error XSS dekat site aku.. Tp error tu call dari Nuffnang..
*Click gambar klau nk tgok gambar lagi besar..
Aku shout dekat twitter.. Sapa tau twitter Nuffnang ni.. Then si Zelo55 bagi aku twitter Nuffnang.. Aku pun tulis ah kt nuffnang yg aku jumpa XSS vuln dekat synad2.nuffnang.com.my.. Tp x der reply dari twitter tu.. Ah.. Aku ckp lantak ah.. Site ko kena hack kalu aku x mo masuk campur.. Earning nuffnang aku bukan boleh checkout pun.. Brapa taun lagi baru leh aku rasa.. Wahahaha..
Then aku check email.. Tetiba ada email dari Penton Wong.. Sapa plak Pentong Wong ni.. Aku dah nk delete jer.. Aku ingtkan spam.. Then aku nmpak tajuk email tu RE : XSS Alert.. Uik.. Kat bawah ni screenshot email antara aku dah Penton Wong..
Itu jer la entri untuk kali ni.. Btw saper2 yg ada blog tu rajin2 la buat backup sbb macam2 kemungkinan boleh berlaku.. Ye la kan.. Kalau orang dengki macam2 dia nk buat right? Tambah2 lagi bila orang tu dpt tau ada bug dlm script site kita.. X kisah la theme ker.. Plugin ker.. Anything yg ada error si “hacker” ni boleh jadikan sasaran utama nk inject malicious code..XSS ni x bahaya mana pun.. Tp kalau x jumpa mmg leh datangkan impak ke coding lain.. Sbb tu kena aware.. Sekian..
hehe..
agak2 nya blog aku ada ke XSS vuln ek..
tkot gak..
nak analyze kod php tu x pndai lak..
Akmal Hisyam´s last blog ..Multiget – pengurus muat turun untuk linux
Ada tool’s untuk check vulnerability website.. Aku dah lupa nama apa tool’s tu sbb lama x pakai.. Acunetix something2.. Arghh..
Guna tool’s tu then scan site.. Klau ada byk error tu boleh la google coding tu tgok code tu boleh “membawa maut” ke x.. >.
kotas , nuffnag ni kasi ko prize ape ?
X dak adiah.. T____T
hoho ayat nak best..
topo´s last blog ..topo beli buku guna duit raya..
Ahahhahaha.. Ayat kena best la sbb adiah x nak kasi.. Wakakkakaka.. Mr. Penton.. I’m just kidding man.. Dont suspend my nuffnang account lol..
huhu
ilmu IT aku sangat low…hoho
but at least i got some idea from here
bro biler nk up citer konspirasi exabyte Wakakakak !!!
ak da panaz nie
Xynime´s last blog ..One Piece Episode 419
@teh
Aku pun ilmu iT amat low.. Nasib baik la tau skit2 dari orang yg penah kena.. So dpt aware..
@Xynime
Konspirasi? Wahahaha.. Aku x tau.. Nk buang jap banner tu.. >.<
at least credit la to kertaz(dot)net .hoho
naz´s last blog ..Eid : Batu Pahat, Kuala Klawang dan Gaza
wo..konspirasi apekah??
teh´s last blog ..Raya: Yang Best dan Yang Tak Best
hoho sempoi gak org nuff tu ek
x-po´s last blog ..PEREMPUAN SUKA MARAH-MARAH KE?
X der konspirasi apa2 pun cik teh oi..
yeah acutenix.. aku banyak scann website orang tapi aku ashik dpt lowlowlow..
yg hight pun..
weak password
X yah hek2 site org.. Duk senyap2 men game udah..
sempoi jerk ayat..
“Your god know your good deed”
At least some credit, or satu hari banner ko kat main page nuffnang ker..
hehehe..
aper pun thank for info..
p/s: nak tnyer macam maner kalo kiter nak scan kiter nyer web secure dari xss.. Ak da search tapi x dapat aper2,.. Need help..
prots´s last blog ..Movie = Inglorious Bastard
Klau pakai wordpress x pyah risau sgt sbb script wordpress mmg secure, klau ada bug apa2 diorang akan cepat2 patch balik.. Yg ada bug pun dkt theme or plugin yg kita pakai.. Slalunya theme x byk bug, plugin la slalunya yg ada problem tmbah2 lagi yg plugin baru develop or beta version.. Tp jgn x pkai plugin plak..
Bab nk scan site tu bleh pakai software Acunetix.. Dia leh scan apa2 vuln dkt site.. Klau x paham lagi bleh masuk http://tbd.my ni forum komuniti tp lebih brkisarkan pasal security.. Rmai pro dlm tu, tmbah2 lagi bab hack2 ni..
oo,.. okew2,.. thanks for the info..
dan link tu.. sangat berguna…
tochee, tochee
prots´s last blog ..Sneak Peak = Alice in Wonderlands
No problem.. =)
I just hope they WON’T remove first class, as there, it’s _silence_ for all (written at the entrance, or at last of some trains)….