Semakin menakutkan saja aktivitas dari para researcher web security, saat ini mereka mulai membuktikan bahwa jenis serangan XSS bukan hal yang sepele. Mereka berhasil membuktikan bahwa XSS mampu meng-eksploitasi aplikasi-aplikasi google, bagi yang berminat untuk mengetahui lebih jauh bisa membaca pada blog nya Giorgio Maone di sini. Dari link tersebut kita juga dapat mencoba POC untuk eksploitasi google, namun seperti nya sekarang ini sudah di blok oleh google dan diganti dengan halaman lain :(. Disamping jenis hole yang dijelaskan oleh Giorgio Maone pada blog nya, bagian lain dari kelompok GNUCITIZEN juga ikut meramaikan proses eksploitasi pada GMail dengan memanfaatkan hole CSRF (Cross-Site Request Forgery), hole ini dapat digunakan untuk menanam ‘backdoor’ pada account GMail target pada bagian filtering email, dimana hasil nya semua email atau email-email dengan kriteria tertentu yang di tujukan pada target akan di forward ke email penyerang, trik nya sederhana tapi sangat cerdik. Tepat seperti yang disebutkan pada blog tersebut, tidak dibutuhkan untuk pwned box target…dengan melakukan pwned pada mailbox nya maka bisa jauh lebih menakutkan hasil nya (full-disclose dari informasi pribadi, login/password bankin, login/password hosting, dll). Backdooring pada pada GMail ini diceritakan secara singkat pada blog nya eno7. Oh ya, Firefox with Noscript is still our friend to avoid this...

HDM mulai melakukan eksplorasi terhadap iPhone, dia berhasil mendapatkan shell (reverse-shell dan bind-shell) pada iPhone via payload (dummy shell) yang merupakan hasil generate dari MSF 3. Check his (cute) start-up technique to explore the iPhone (include some intresting information regarding the iPhone) on metasploit...

Akhir-akhir ini kita sering sekali mendengar istilah Web 2.0, apa sebenar nya web 2.0?! Penjelasan detail nya bisa dibaca melalui media wiki. Web 2.0 bukan lah sebuah protocol baru untuk aplikasi web, yang pada awal nya dikenal dengan istilah World Wide Web (www). Mungkin kita bisa mengatakan bahwa Web 2.0 adalah suatu bentuk trend masa kini yang memanfaatkan web sebagai platform. Teknologi web sudah sangat jauh berkembang, yang awal nya statis kemudian menjadi dinamis, dan sekarang semakin mendekat lagi kepada user dimana pemrosesan data banyak memanfaatkan backend, sebut saja teknologi javascript. Jika dilihat dari trend nya itu sendiri, saat ini aplikasi social network seperti friendster dan myspace semakin banyak, pemanfaatan server untuk sharing foto dan video juga semakin bersaing, belum lagi aplikasi-aplikasi desktop yang dibawa ke dalam teknologi web seperti google desktop, gadget, google spreadsheet, dsb. Bisnis?!Absolutely, kita bisa katakan…jaman sekarang perusahaan mana yang tidak punya website?semakin banyak pihak yang mencari keuntungan melalui media internet khusus nya aplikasi web, kita bisa lihat melalui aplikasi semacam google analytics, adSense, dan lain sebagai nya dimana aplikasi-aplikasi web semakin kompleks dan dimanfaatkan untuk kepentingan mencari profit. Kita bisa bayangkan, saat ini banyak orang yang meraih keuntungan jutaan hanya dengan kalkulasi ‘jumlah klik’ dari suatu website, ataupun dengan memiliki rating tinggi dari suatu search engine. Atau kita bisa melihat trend yang berusaha membawa kehidupan nyata kedalam kehidupan mesin di dunia maya layak nya film-film dari holywood, contoh nya adalah aplikasi secondlife. Dengan semakin beragamnya kepentingan tiap pihak terhadap aplikasi web, maka seakan-akan setiap orang menginginkan apa yang tertanam dalam ide manusia dapat tercurahkan dalam bentuk bit-per-bit di dunia maya. Hal ini memacu semakin berkembang nya teknologi internet untuk memenuhi kebutuhan tersebut, sebut saja teknologi Ajax, RSS, CSS, Rails, dsb. Jika dilihat secara kasar, Web 2.0 tidak mengubah spesifikasi default dari protocol pembawa nya seperti http. Namun lebih kepada pengembangan teknologi untuk memenuhi kebutuhan...

Another interesting project from GNUCITIZEN team, mereka membuat database untuk berbagai jenis serangan XSS. Database ini lebih lengkap dari XSS Chetsheet nya RSnake. Bagi yang tertarik bisa langsung di lihat pada situs...

reCAPTCHA merupakan metode implementasi terbaru untuk CAPTCHA (Completely Automated Public Turing test to Computers and Human Aparts). CAPTCHA merupakan metode challange yang banyak dimanfaatkan pada berbagai aplikasi web di internet sebagai metode untuk membedakan antara manusia dengan mesin. Kalian pasti sering melihat di form sign-up email, forum, ataupun untuk memasukan comment pada blog terdapat semacam gambar acak yang terlihat buram, kita harus menuliskan teks kata tersebut pada suatu form sebelum melakukan aksi yang sebenar nya (sign-up email atau forum misal nya), nah…itu lah CAPTCHA. Terdapat banyak implementasi CAPTCHA pada aplikasi-aplikasi web yang populer seperti phpBB, wordpress, phpNuke, dsb. Dan umum nya memastikan bahwa yang berinteraksi dengan sistem saat ini adalah manusia, bukan mesin (seperti bot). Banyak sekali terdapat bot yang disebar pada internet memasukan comment yang sifat nya iklan ataupun mengganggu ke dalam media blog ataupun forum, dan bot ini umum nya dibuat dengan suatu script program. Dengan adanya CAPTCHA maka bot-bot tersebut dapat dicegah sehingga tidak dapat melakukan registrasi, post comment, dsb. reCAPTCHA menggunakan metode baru dalam melakukan CAPTCHA, yaitu memanfaatkan 2 hal: Kata-kata yang tidak dapat dibaca dengan OCR (Optical Computer Recognition), dan manusia. Manusia?!Yups, kita bisa baca selengkapnya dari situs resmi nya di sini. OCR (Optical Computer Recognition) dapat digunakan untuk mengubah hasil scan suatu buku (dalam bentuk gambar) kedalam suatu bentuk dokumen teks. Kita semua tentu tahu mengenai e-book. Pengubahan bentuk scan yang awalnya berupa gambar kedalam bentuk dokument teks dibutuhkan untuk berbagai tujuan, salah satu nya adalah agar mudah di-search oleh search engine. Namun adakalanya OCR tidak mampu membaca karakter hasil scan tersebut sehingga menghasilkan tulisan yang salah, misal nya seperti ini: Kita bisa katakan reCAPTCHA adalah suatu project mutualisme dengan beberapa tujuan, yaitu: Meningkatkan kualitas CAPTCHA pada suatu sistem terhadap serangan bots, dan membantu proses book digitizing (pembuatan buku digital) dalam mengenali kata-kata yang tidak bisa dibaca oleh OCR. Ini adalah suatu project...

Seperti biasa, jurnal uninformed selalu menyuguhkan artikel-artikel yang intelek dan murni hasil riset terkini mengenai berbagai macam teknologi di dunia security. Rilis artikel terbaru mereka bisa dibaca pada situs uninformed.org.