Sudah baca majalah Underground Info ? Di majalah itu ada artikel yang ditulis oleh S’to tentang XSS di halaman login klikbca.com. Dalam tulisan ini saya bahas lebih jauh lagi dan saya berikan contoh exploit yang cukup berbahaya dari vulnerability yang ditemukan S’to di majalah tersebut.
January 2009
Session Hijacking Basics
What really is Session?
Bayangkan ketika anda nonton bioskop, lalu tiba-tiba di tengah pertunjukan anda ingin ke toilet yang letaknya di luar studio. Setelah anda selesai dari toilet, menurut anda apakah anda dibolehkan masuk atau diminta membeli tiket lagi? Bila anda diminta membeli tiket lagi, berarti dia “lupa” bahwa anda adalah penonton yang sah. Bagaimana cara penjaga pintu studio mengingat bahwa anda adalah pentonton yang sah? Saking banyaknya pentonton tidak mungkin penjaga hafal wajah tiap penonton. Maka cara yang dipakai adalah dengan bukti berupa tiket masuk.
Bahaya Memakai HTTP Proxy/Tunnel
vtunnel
Beberapa waktu yang lalu ketika lagi ramai kasus film Fitna, pemerintah memilih untuk memblok akses ke situs-situs seperti Multiply dan Youtube. Namun masyarakat tidak kekurangan akal, mereka menggunakan teknik tunneling atau proxying memanfaatkan proxy gratisan yang ada.
Tanpa disadari penggunaan http proxy gratis di internet memilih bahaya yang serius. Keleluasaan browsing dan anonimitas dibayar dengan resiko keamanan. Salah satu contoh situs yang banyak dipakai adalah vtunnel. Dalam situsnya vtunnel menjelaskan tujuan dibuatnya vtunnel:
Membuat Fake SMS
symbian
Tidak banyak orang yang tahu bahwa sms yang berada di inbox bisa dibuat sendiri oleh pemilik hp, tanpa harus ada campur tangan orang lain. Hal ini mudah dilihat dari banyaknya orang yang percaya bahwa isi inbox adalah bukti kuat dan otentik bahwa orang lain telah mengirimkan sms padanya.
Free (Undocummented) Alexa API
Alexa traffic rank menunjukkan seberapa ramai suatu situs dibanding situs lain yang ditunjukkan dengan suatu angka, yaitu rank atau posisi. Semakin kecil rank menunjukkan situs kita semakin ramai. Cara untuk melihat traffic rank adalah dengan mengunjungi situs alexa.com. Contohnya untuk traffic rank www.momsmiracle.com bisa dilihat di http://www.alexa.com/data/details/traffic_details/momsmiracle.com
Seandainya Dedy Corbuzier memakai Digital Signature
courtesy of deddycorbuzier.com
Seperti yang diberitakan, Dedy Corbuzier (DC) membuat ilusi prediksi hasil Euro 2008. DC menuliskan isi prediksinya pada tanggal 6 juni 2008, lalu menyimpannya di sebuah kotak yang dijaga 24 jam non-stop. Kemudian tanggal 30 juni isi prediksi itu dibuka dan dibacakan. Dan isinya adalah hasil Euro 2008 yang akurat bahkan sampai skor akhir dan penjebol gawangnya. Bagaimana seandainya ilusi itu memakai teknologi security?