Setelah demam Friendster merebak,banyak hacker mencari celah untuk menebus web tersebut.
Sudah ada beberapa contoh dalam article di jasakom yang mendapatkan celah pada web Friendster.com XSS memang tdk dpt dihindari bila web memperbolehkan semua orang mengirim/menerima sesuatu dalam bentuk html code.Seperti Friendster,mereka memperbolehkan meng-edit page mereka sndiri dengan html code.Dan Testimonial,juga diperbolehkan menggunakan html code.
Langsung saja
Browse
1.http://www.Friendster.com
2.login
3.Kirimkan Testimonial Kepada Siapapun dengan code Language="JavaScript">alert(document.cookie)
Kemudian apa yang muncul..cookie dari web Friendster yang tesimpan di komputer kita Bila kita ingin jahat,maka curi saja cookienya.Maka cooki dari setiap org yang mengakses web tersebut secara otomastis akan masuk ke dalam page "curian" yang telah kita buat.
|
Tidak ada komentar:
Posting Komentar
Komentar Anda