Jumat, Maret 30, 2001

XSS pada Facebook Connect

Penulis Day Milovich | Jumat, Maret 30, 2001 | 16.45.00 |



Bug ini ditemukan oleh MagelangCyber Crew. Anda pasti mengerti tombol Like/Suka yang dipasang di website/blog. Facebook menyediakan fasilitas penghubung antara facebook dengan website/blog (disebut "facebook connect") di mana seseorang bisa menandai sebuah artikel kesukaannya dengan menekan tombol Like/Suka. Jejak jempol Anda akan ditampilkan di account profile facebook, semua orang bisa melihatnya. Tujuannya tentu agar teman-teman Anda mengikuti, melihat artikel tersebut, dan membuat artikelnya menjadi populer.
Fungsinya bagus, namun ternyata, script ini "bermasalah", karena, bisa di-XSS.
XSS (cross site scripting) adalah salah satu metode pengujian penetrasi celah keamanan pada aplikasi web untuk memanipulasi tampilan website hanya di browser pengunjung. Metode ini dilakukan dengan menambahkan code pada aplikasi web yang bermasalah.
Saat artikel ini dibuat, Anda masih bisa "mencoba" menjalankan XSS langsung di browser. Silakan klik link demo di akhir artikel ini.
Apakah jika dijalankan account facebook Anda bisa dibajak?
Bisa iya, bisa tidak. Link demo yang disediakan dalam artikel ini, hanya memanipulasi tampilan browser Anda saja dengan sebaris tulisan. Tidak ada account facebook yang dirusak, tidak mengusik file di server facebook, tidak menyentuh database, hanya semacam "tipuan" yang secara psikologis bisa mempengaruhi orang yang mengakses link demo tadi. Kalau code di URL demo tersebut diolah lebih lanjut, bukan tidak mungkin akan mempengaruhi isu privacy dan security.
Tentang cara mencari XSS di aplikasi web, apa itu XSS, cara mengamankan aplikasi web agar tidak bisa di-XSS, serta bagaimana facebook like button dipasang di website/blog, Anda bisa mencarinya sendiri.

Demo:
http://on.fb.me/dayfbxss
[boleh dicoba. tidak berbahaya. dijamin.]

Day Milovich,,
http://facebook.com/daymilovich
http://daymilovich.blogspot.com
:))

Tidak ada komentar:

Posting Komentar

Anda bisa berkomentar tanpa perlu login.

 
Day Milovich (c) 2013. Diberdayakan oleh Blogger.