Senin, 22 Juni 2009

facebook

neh g dapet dari forum yang ngepost id nya neh
FractionCode
maksaih udah share

FaceBook Hacking
Dear all,

Apabila anda adalah seorang pengguna FaceBook yang pernah dan/atau tidak ingin mengalami kejadian dihack oleh pihak yang tak bertanggung-jawab, maka anda harus membaca kisah yang berbentuk percakapan singkat yang ada dibawah ini:

Th0R: Woi! Gw baru ajah register FaceBook nih! Gila, terisolasi juga yeh gw, jaman bgini gak pakek FaceBook - nggak temen, nggak pacar, nggak rekan kerja, jaman skrg semua sibuk mainan BlackBerry untuk FaceBook, didepan komputer pun FaceBook! Kacau deh! Ngmg-ngmg add gw dong!
Rcode: Wokeh! Tunggu bentar yeh!

*** 5 menit kemudian ***

Rcode: Udeh tuh dude! Eh .. Eh .. Ngmg-ngmg lo ada cara buat ngeliat FaceBook si Nina nggak? Malas nge-add dia gw, tapi pingin lihat2! Hahaha!
Th0R: Eh gila lo yeh! Orang baru pegang FaceBook 3 menit kurang udah disuruh ngobok2 ajeh!
Rcode: Ehh justru gw waras makanya nanya! Klo gila mah gw udah gak mainan FaceBook! Coba donggg .. Kan kalau bisa mayan juga, besok-besok bisa ngeliatin foto-foto ce cantik tanpa harus add mereka jadi temen! Abis klo kudu ngeadd ntar gak diterima pula!
Th0R: Stalker lo! Hahaha!
Rcode: Bodo! Yang penting asik kan?
Th0R: Ok ok! Nama lengkap nya Nina siapa sih di FaceBook? Gw search sini!
Rcode: Halah! Gak usah pakek nama-namaan deh! Nih gw kasih langsung 1 URL album nya dia - http://www.facebook.com/album.php?ai...2&id=568625382 - bisa gak lo akalin?
Th0R: Bentar gw lihat doeloe dong!

Dalam waktu 10 menit kedepan, Th0R yang kebetulan memang sedang bosan karena hanya menemukan kalengan botol Budweiser sebagai teman nya mengerjakan pekerjaan kantor malam ini mulai mencoba mengutak-atik URL tersebut! Kedua buah variable yang ada disana; yakni aid= dan id= menarik perhatian nya!

Sampai pada poin tersebut, Th0R kemudian mencoba mencari nama Nina (dengan nama lengkap yg ada baiknya tak disebutkan disini) dengan menggunakan fasilitas "Search" yang disediakan oleh FaceBook pada bagian atas-kanan tampilan halaman index! Ia menemukan sebuah kenyataan bahwa apabila seseorang melakukan klik pada tombol "View Friends" pada hasil pencarian Nina tersebut maka si pelaku klik akan dibawa ke halaman: http://www.facebook.com/friends/?id=568625382

Lebih dari itu, apabila seseorang mencoba melakukan "Add as Friend" terhadap Nina, maka sebelum dapat melakukan penambahan Nina sebagai seorang teman, seseorang harus melakukan verifikasi rekues pertemanan tersebut melalui halaman: http://www.facebook.com/addfriend.php?id=568625382

Ada yang mengganjal disini! Apabila diperhatikan, ternyata variable id= pada seluruh halaman yang berhubungan dengan nina adalah sama; yakni id=568625382! Namun demikian, variable aid= tidak pernah muncul selain pada halaman album foto milik Nina! Apa yang terjadi disini?

Setelah berpikir lebih dari 5 menit, maka Th0R memutuskan untuk melihat berbagai album milik orang lain (yang kebetulan sudah Ia tambahkan sebagai teman sebelumnya). Tersebutlah nama Calvin Limuel dengan URL salah satu album yang tertera sebagai berikut: http://www.facebook.com/album.php?ai...&id=1259697185! Ternyata memiliki URL profil seperit ini: http://www.facebook.com/profile.php?id=1259697185!

Aha! Dengan demikian jelas sudah makna daripada variable id= dan mengapa variable aid= tidak pernah muncul pada setiap URL yang berhubungan dengan Nina! Hal tersebut dikarenakan:

Code:

1. Variable id= merupakan sebuah variable yang digunakan oleh pihak FaceBook untuk menentukan setiap user unik mereka! (Oleh dari karena itu setiap user memiliki variable id= yang berbeda).

2. Variable aid= merupakan sebuah variable yang berbentuk urutan angka acak sebanyak 6 digit yang digunakan untuk menentukan Album dari setiap variable id=! Hal ini juga dapat dibuktikan dengan mencocokan URL-URL setiap album dalam 1 profil yang sama, sebab yang berubah hanyalah variable aid= nya!

Th0R: Eh bung Rcode! Kayaknya bisa deh ini diutak-atik, tapi gak janji yeh!
Rcode: Serius lo? Gmana neh gmana?
Th0R: Gimana kalau kita coba bruteforce (melakukan serangan tebak-tebak) variable aid= pada album milik nina tadi? Jadi kita bisa menemukan album-album dia yang lain! Sounds nice?
Rcode: Emang ada caranya? Atau harus itung manual 1-1 cobain? Bisa bangkrut bandar! Hahaha! Kupluk juga lo!
Th0R: Makanya ikutan OWASP dong om! Hahaha! Cobain gih project terbaru mereka, namanya WebSlayer! Ini bisa dipakek utk bruteforce URL!
Rcode: Jadi .. gw harus gmana setelah download?
Th0R: Buka "Attack Setup" tab pada aplikasi WebSlayer! Terus isikolom URL dengan http://www.facebook.com/FUZZ (FUZZ disini artinya adalah - bagian yang boleh diserang dengan bruteforce!), jangan lupa masukan header nya FaceBook, terus set payload typenya Payload! Jadi kyk bgini nih:
http://img14.imageshack.us/img14/9394/brutezyv.jpg
Rcode: Terus?
Th0R: Langkah kedua lo coba buka "Payload Generator" tab, dan pilih jenis generator yang paling lo suka! Kalau gw sih Range yeh! Jadi gw isa nebak dari 000000 - 999999 dan gak pakek pusing buat dictionary! Hahaha! Terus set pattern nya, dan Generate payloads nya! Nih contoh gambarnya:
http://img14.imageshack.us/img14/6937/brutez.jpg
Rcode: Ok! Gw udah sampe tahap yang sama neh! Terus gimana biar bisa nyerang?
Th0R: Lo balik ke "Setup Attack" tab! Eits .. Jangan langsung nyerang ajeh! Import doeloe FUZZ lo dari generator! Hehehe! Baru deh klik tombol "Start Attack"!
Rcode: Udah! Wuihhhh jalan! Tapi hasilnya kyk bgini nih! Masak katanya halaman gak bisa diakses om? Coba lo liat:
http://img14.imageshack.us/img14/8194/brutew.jpg
Th0R: Kyk pemula ajeh lo! Hahaha! Jangan lihat bawah nya dong, coba lihat payloads diatas yang udah pada kelar dicobain sama si WebSlayer - ada 2 kan yang di bold warna coklat muda?
aid=161512 dan aid=161514 kan? Hehehe coba lo kasih gw lagi URL album si Nina tadi?
Rcode: http://www.facebook.com/album.php?aid=161512&id=568625382
Th0R: Hehehe! Nah skrg coba elo ubah variable aid= nya jadi - http://www.facebook.com/album.php?aid=161514&id=568625382 .. Apa yang terjadi?
Rcode: Ohhh iyehhh! Gw bisa liat album dia yang laen! Wakakakaka! Asik juga yeh!

*** 3 menit kemudian ***

Rcode: Om! Kelamaan neh! Ada cara yang lebih gampang nggak?
Th0R: Ada!
Rcode: Gmana tuh?!
Th0R: R-a-h-a-s-i-a!
Rcode: Beuh! Ajarin kalee .. Pelit amat!
Th0R: Bukan pelit! Tapi biar elo coba sendiri
Rcode: Emang beneran ada?
Th0R: Try me! Sini kasih gw ID, gw bukain profile nya dan semua foto-foto nya dalam waktu 10 menit xD~

Sekian!
Walau memang ini merupakan celah keamanan yang terbilang tidak kritikal, namun sebuah kenyataan bahwa FaceBook, sebagai sebuah website jaringan sosial terbesar (dengan jumlah anggota yang konon mencapai 200 juta orang - yg mana apabila FaceBook adalah sebuah negara, maka merupakan negara dengan jumlah populasi terbesar no. 5 di dunia) masih memiliki banyak celah lainnya! Memang benar, FaceBook melakukan pembenahan celah-celah tersebut dalam hitungan jam saja, namun demikian, hal tersebut tetap tidak menutup kemungkinan anda adalah korban si tangan-tangan jahil yang berikutnya! Oleh dari karena itu, waspada lah! Mau orang ngmg FaceBook adalah situs dengan platform teraman yang pernah ada sekalipun (I know several Indonesian IT practitioners said so) believe me (whose simply not an expert) that FaceBook can still be owned!

NB: Masih banyak celah keamanan lain yang masih bisa digunakan dan lebih mengerikan - phising attack, cross-site scripting, clickjacking, script insertion, etc - oleh dari karena itu, berhati-hatilah!

Original Content: http://th0r.info/?p=341
Thx & Greetingz to: Rcode (http://www.joan.web.id), Zoiz (http://www.zoiz.web.id), and Zealtous!

UPDATE:
http://www.kaskus.us/showpost.php?p=...&postcount=152

Informasi Tambahan:
Quote:
Ditengah diskusi yang terjadi di topik ini, seorang member bernama Warikpintar menyatakan bahwa artikel ini adalah hasil copas, berikut adalah 2 buah URL yang beliau sertakan untuk menegaskan tuduhan nya:
http://www.acunetix.com/blog/web-sec...album-privacy/
dan
http://securityninja.co.uk/blog/?p=198

Saya akui memang kedua buah blog content tersebut membahas hal yang sama dengan yang ada dalam artikel ini, namun masih jauh berbeda! Beberapa hal yang berbeda diantaranya adalah:
- Alat bantu yang digunakan
- Gaya berpikir dan logika yang ada dalam wacana
- Variable yang dibahas (artikel saya tidak ada variable L= krn memang menurut pengalaman pribadi, hal tersebut tidak perlu)
- Gaya menulis yang memberikan semua langkah step-by-step, dan tidak hanya teori seperti 2 URL tersebut
- dan Informasi-informasi tambahan seperti batas-batas brute aid= yang tidak ada di dalam 2 URL diatas!

Selain itu, tehnik yang saya gunakan ini kebetulan masih bisa digunakan (setidaknya hingga 04/20/2009) alias belum di BENAHI oleh pihak FaceBook - saya akan mencoba memberikan update lagi apabila ada perubahan!

Sekian, dan terima kasih untuk saudara warihpintar yang memberikan masukan lebih!
Saya sendiri belum pernah membaca 2 buah artikel tersebut, dan ini bisa membantu saya untuk memahami yang mgkn belum saya pahami.
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)