Belum lama ini saya melihat adanya kemungkinan phising attack yang dituliskan oleh salah seorang penulis yang menyatakan shout kepada jasakom.com pada bagian akhir artikelnya.
Tertarik untuk melihat lebih lanjut mengenai Friendster, saya menemukan
adanya kejanggalan pada beberapa featurenya yang diantaranya membawa pada
kemungkinan serangan berupa Unix Transversal Directory, Cross-site Scripting
(Baik langsung berupa UTF-7, maupun menggunakan macromedia flash), serta CRLF
Injection. Lebih daripada itu, sayapun menemukan adanya kemungkinan melakukan
upload trojan ke victim melalui feature yang bisa dibilang paling penting pada
friendster.com itu sendiri, yakni testimonial..
Bagi mereka yang kurang berhati hati, dan mengingat para pengguna friendster
adalah tidak semuanya pemerhati IT atau terkadang hanya user saja, maka tingkat
kerawanannya semakin tinggi, apalagi bagi mereka yang menggunakan jasa Internet
Banking atau Internet Payment seperti Paypal, e-bay dan lainnya. Ditambah lagi
adanya kemungkinan tehnik upload trojan tersebut 'dibumbui' dengan tehnik Social
Engineering ataupun bisa disebut juga sebagai Phising method, maka akan menambah
range victims yang mungkin terkena.
Saya menuliskannya bukan dalam bentu tulisan, melainkan video yang saya rar
ditujukan supaya lebih mudah dimengerti..
Dan semoga tutorial ini bisa banyak berguna bagi semua mereka yang membaca, agar
bisa lebih waspada dalam menggunakan friendster.com..
Berikut adalah video yang menjelaskan mengenai kemungkinan upload dan membuat
auto-download trojan bagi setiap tiap orang yang membuka page yang mengandung
testimonial berisikan flash movie khusus yang sebelumnya sudah disiapkan si
penyerang.
http://www.hellgeeks.org/Friendster.rar
Special Thanks to : epel, nico, jepz, ignes..
Shout to : KidChameleon, Super_Babi, 8th-Heaven, and Creepy
Salam,
Th0R
|