Setelah mengirimkan video pertama mengenai adanya kemungkinan melakukan upload dan auto download trojan atau virus atau keylogger dengan menggunakan flash dan fitur pada friendster.com yakni testimonial, kali ini saya ingin memberitahukan mengenai kelemahan yang mirip, hanya saja lebih mengarah kepada spoofing atau non-direct XSS attack using Flash Movie pada friendster.com
New Page 1
Tingkat keberbahayaan menengah, dikarenakan tehnik ini hanya digunakan untuk
membodohi para user yang tidak jeli dalam memperhatikan perubahan pada situs,
dan bisa juga dikatakan sebagai Semi-Offensive Spoofing Attack. Dengan
menggunakan tehnik ini, si penyerang bisa saja melakukan redirection ke login
page friendster.com kembali setiap saat si pemilik account ingin, akan tetapi
login page ini adalah fake, dan apabila mereka memasukan username dan pass
mereka, maka akan lebih mudah dicuri.
Selain itu, tehnik inipun bisa dikatakan sebagai tehnik untuk "merusakan"
account orang.
Dikarenakan setiap kali si pemilik account yang kita kirimi testimonial
menggunakan flash ini tidak akan bisa membuka page dimana mereka seharusnya bisa
memilih antara approve / reject sebuah testimonial. =D~~
Dengan kata lain, mereka tidak akan bisa menggunakan fasilitas testimonial
approved or rejected lagi pada account mereka. Sedangkan dalam kasus pertama,
kita bisa mengambil keuntungan dari sering errornya fasilitas friendster.com -
Bagaimana?? Mgkn pada saat pertama kali orang tersebut membuka pagenya dan tidak
bisa masuk, mereka akan mengirimkan email bahwa account mereka error atau
terjadi kesalahan teknis pada account mereka kepada administrator situs
friendster.com atau mgkn juga mereka menunggu sehari atau 2 hari sambil berharap
kembali benar. Setelah si penyerang mendapatkan username dan password, mereka
bisa men-delete SWF file yang di hostingkan sebelumnya, sehingga membuat
kenyataan palsu bahwa account si korban TELAH DIPERBAIKI =D
Melihat dari cukup sering down nya Friendster dalam layanan mereka, saya rasa
menunggu satu dua hari adalah hal yang biasa, dan tidaklah aneh =D
Berikut adalah videonya:
http://www.hellgeeks.org/FriendsterXSS.rar
Special Thanks to : epel, nico, jepz, ignes Shout to : KidChameleon, Super_Babi,
8th-Heaven, and Creepy
Salam,
Th0R
|