|
|
|
Celah keamanan di portal plasa.com
|
Date: Sunday, April 23, 2006
Hits: 5007
By: #vi etc/shadow
|
Selain plasa.com yang masih rawan XSS:
contohnya disini
Ada keteledoran lain yang menurut saya cukup membahayakan. Langsung saja,
celah keamanan yang saya maksudkan disini adalah dimana email milik salah satu
dari email support mempunyai password yang sangat mudah ditebak, yaitu
billinfo@plasa.com sehingga menyebabkan seseorang dapat
mengekplorasi isi dari mailbox tersebut yg didalamnya banyak sekali email-email
yang masuk bertanya tentang lupa password plasa,lupa passowrd billing telpon dan
lupa password untuk check pemakaian bandwidth speedy.
Dari hasil explorasi saya dalam mailbox account tersebut saya berhasil menemukan
data-data penting (biodata) beberapa member termasuk diantaranya adalah:
Tujuh buah account speedy, dan 8 buah account plasa yang sekaligus account
billing info tagihan telepon perusahaan maupun perorangan.Sebenarnya akan banyak
lagi yg bisa kita dapatkan, karena jumlah inbox email belum sepenuhnya saya
explorasi (7000lebih email dengan kata kunci search 'password')
Hal ini mungkin tidak terlalu membahayakan jika tidak disalahgunakan, akan
tetapi mengingat apapun bisa terjadi, akan saya ulas satu persatu.
<a href="http://i31.photobucket.com/albums/c390/ropix/speedy.jpg"
target="_blank"><img
src="http://s31.photobucket.com/albums/c390/ropix/th_speedy.jpg" border=0></a>
Untuk account login speedy ini bisa digunakan untuk cracking speedy:
Dengan teknik yang dikemukakan oleh mas evan di <a
href=http://www.bukuweb.com/www1/index.php?option=com_content&task=view&id=45&Itemid=44
target=blank><b>SINI</b></a>
Untuk account billing info, ini berupa account untuk melihat data tagihan telpon
perbulan, serta nomer-nomer sljj yang pernah diubungi(print-out telkom). Ini
memungkinkan seseorang mendapatkan nomor-nomor telepon yang biasanya digunakan
untuk modus-modus penipuan.
<a href=http://i31.photobucket.com/albums/c390/ropix/tlp2.jpg target=blank><img
src=http://s31.photobucket.com/albums/c390/ropix/th_tlp2.jpg border=0></a> <a
href=http://i31.photobucket.com/albums/c390/ropix/notlp.jpg target=blank><img
src=http://s31.photobucket.com/albums/c390/ropix/th_notlp.jpg border=0></a>
Tutorial ini saya tulis dengan maksud untuk pembelajaran, dan saya buat tembusan
ke pihak admin plasa.com
Untuk email salah satu support plasa.com yg bocor tadi, silahkan anda analisa
dan cari sendiri, saya yakin itu tidak sulit :D
thx to :jasakom,echo,lirva32,evan_bhomert
#vi etc/shadow
bl4ck_4n6el at yahoo.com
|
|
| Source: JASAKOM Information Center |
|
|
|
|
|