Javascript linker Friendster

Javascript - Friendster - Linker , Barusan ada temen yang tanya mengenai cara memasukkan javascript pada profile friendster, dan dengan exspresi tanpa DOSA langsung saja saya jawab "tinggal masukan saja tag <script> pada about me atau Describe Who You Want to Meet", tapi ternyata code ini sudah tidak berfungsi lagi :l0l: Lalu? apakah masih ada celah buat inject javascript di friendster? jawabnya: masih bisa. setidaknya sampai postingan ini saya buat, code javascript masih bisa berjalan pada MEDIA BOX friendster. Dibawah ini adalah codenya:

<script>alert("XSS");</script>

.

<script src="lokasi file JS"></script>

.

Tanpa sensor bukan? padahal sebelumnya code seperti ini sudah difilter oleh friendster., kemudian apa manfaat dan bahaya javascript buat kita? tentu saja bagi yang punya hoby modifikasi layouts friendster adalah sebuah anugerah :D tapi hal ini bisa dimanfaatkan oleh kelompok tertentu untuk phishing ataupun pencurian cookies user friendster. Apa itu phishing?, contoh sederhana phishing adalah berupa fake login (halaman login tipuan) yang menyerupai halaman login friendster, sehingga saat kita memasukan email dan password, maka data kita akan terrecord pada database halaman phishing tersebut. Metode ini biasanya menggunakan cara "clasic" (redirect ke url domain non friendster) atau menggunakan cara "modern" (berupa frame) yang menutupi profile asli seseorang dengan area 100% sehingga profile asli tersebut tidak terlihat, yang terlihat adalah sebuah halaman login palsu.

Selanjutnya adalah cookies, Friendster telah melakukan patch dengan menyimpan key cookies pada domain www.friendster.com, dan melakukan redirect pada url http://profiles.friendster.com/IDuser saat user melakukan access pada page tersebut dengan alasan "cookies security", namun pencurian cookies masih bisa dilakukan pada friendster selama javascript masih bisa di inject pada profile seseorang, di tambah juga adanya sebuah bugs pada "UserURL" yang berkaitan pada subdomain http://profiles.friendster.com. Perlu di ketahui, sebuah alamat subdomain merupakan subdirectory dari sebuah directory root domain. contohnya adalah: http://friendster.com adalah root directory, ketika kita membuat subdomain dengan nama http://profiles.friendster.com sebenarnya kita bisa akses url tersebut dengan format http://friendster.com/profiles/ karena "profiles" merupakan sub deirectory dari domain friendster.com.

Teknik cookies stealer kabarnya tidak hanya sebatas ini saja, dan mungkin tidak bisa dituliskan disini. Tulisan ini ditujukan kepada anda agar anda berhati-hati dengan metode-moetode yang disebutkan diatas. Semoga Friendster Team segera melakukan patching demi kenyamanan member. (komputer tips)

kata mas budi topik fs bisa buat naikin trafic yah? mari kita buktikan :D