Beranda > .freak think/g(s), .techno > CELAH BARU PADA WEB 2.0 DITEMUKAN

CELAH BARU PADA WEB 2.0 DITEMUKAN

hehehe… maap yee… kali ini postingannya bener2 kopipes, soalnya beritanya cukup panjang dan cukup penting untuk disampaikan langsung tanpa ada opini dari saya. hehehe… 1x lagi maap yee… ini nih…

Celah ini memungkinkan para hacker untuk membajak halaman-halaman web personal, memasukkan kode berbahaya, dan mencuri informasi personal. Sementara itu, dalam presentasinya, Deacon mendemonstasikan bagaimana sebuah metode serangan biasa yang dikenal dengan cross-site scripting (XSS) telah digunakan untuk menyerang situs popular berbasis Web 2.0.

XSS memberikan makna baru dalam menularkan sebuah kode jahat dari satu situs ke situs lainnya. Pada beberapa kasus XSS, seorang pengguna tidak harus meng-klik sebuah link, tapi para pembuat malware cukup mengembangkan kode yang kompleks dan secara otomatis termuat di dalam browser.

XSS melibatkan sedikit keahlian dari para programmer ketika mereka mendesain sebuah rutin aplikasi web untuk mengatur data. Ketika sebuah aplikasi web tidak dapat memvalidasi input dari pengguna sebelum mengembalikannya ke sistem klien, hal ini dapat secara tidak sengaja mengeksekusi jejaring ke dalam modul-modul input pengguna. Hacker dapat mengekploitasi celah ini untuk mencari tahu data sensitif dari dalam halaman web yang dapat digunakan untuk membajak data personal pengguna. Selain itu, hacker juga dapat memanfaatkan celah ini untuk menghidupkan file phising atau bahkan men-download kode berbahaya ke komputer korban.

Pencuri Cookie HTTP
Sementara itu, serangan XSS terhadap MySpace dilakukan dengan menipu para pengguna untuk meng-klik link berbahaya. Link palsu yang diberikan untuk menjebak korban akan membawa mereka ke sebuah file yang akan menyalin kata kunci (password) dan data personal lainnya dari sesi cookie HTTP korban.

Cookie HTTP adalah paket text yang dikirimkan server ke sebuah web browser untuk kemudian dikirimkan kembali ke server setiap kali pengguna mengakses web browser tersebut. Paket text yang dikirimkan oleh server tersebut biasanya berisi informasi tentang pengguna, seperti kapan terakhir pengguna mengakses web browser tersebut. Cookie HTTP juga berisi informasi identitas pengguna lain dan informasi unik yang diberikan pengguna ketika memasuki akun mereka.

Di lain pihak, celah XSS tidak hanya ditemukan pada situs MySpace. Mensabotase situs-situs jaringan sosial kini menjadi hal yang menguntungkan bagi para hacker. Hal ini dikarenakan para hacker dapat menggunakan akun korban sebagai landasan untuk menyerang korban dengan ancaman yang lebih besar lagi, seperti mengakses akun bank dari korban dengan menggunakan kata kunci (password) dan data personal yang diperoleh. Dengan demikin, masih banyak lagi situs-situs di dunia maya yang memiliki celah yang sama termasuk Google, Paypal, Amazon, Ebay, dan Orkut.

Dengan demikian, proteksi terhadap serangan XSS yang paling baik adalah mematikan penulisan scrip ketika tidak dibutuhkan. Namun hal ini tidak menutup kemungkinan masuknya kode berbahaya dari HTML yang tercemar. Para pengguna juga harus melindungi sistem mereka dengan memasuki halaman web yang rentan secara langsung, bukan dari link yang diperoleh dari sumber yang tidak dikenal.

Selain itu, para pengguna tidak harus mempercayai sebuah link yang dia terima ketika ingin mengakses situs online banking mereka. Jika akses ke situs bank diperlukan, para pengguna sebaiknya langsung mengakses situs tersebut daripada mengklik sebuah link yang sepertinya akan membawa mereka ke situs bank yang dimaksud. Hal sama berlaku untuk situs-situs lain seperti eBay dan PayPal yang berhubungan dengan data finansial dan transaksi. Dan seperti biasanya, dalam kondisi apa pun para pengguna harus tetap waspada ketika memberikan password atau data personal di sebuah web.

Widia Yurnalis

Sumber : ADA Asia Online

  1. SI NOER77
    8 November 2007 pukul 6:19 pm

    kita cuba yuk… haha…

    # udah nemu cara ngirim virus SMS lom! aku dah nemuin hp yg dah kena virus SMS tipenya hp cdma-inject nokia. maap oot dikit 🙂

  2. 9 November 2007 pukul 11:54 pm

    @SI NOER77: loh, lha kalo hp-nya kagak ada OS-nya gimana? Emangnya kalo gak ada OS masih bisa kena virus?:mrgreen:

  3. SI NOER77
    10 November 2007 pukul 1:43 am

    Beneran kok, waktu nemuin itu hp aku penasaran, aku bawa aja ke service hp jawaban mereka sama apa yg aku kira ini hp kena virus, pas dipencet nama si A itu hp mati total tapi giliran pencet si B gak ngaruh apa2. sms yg lain bisa di hapus tp sms si A gak bisa/nolak. Itu yg bikin aku heran padahal itu hp gak ada bluetooth-infrared kok bisa ada virusnya. Si bang servis bilang hp-nya kena virus sms gitu katanya’ bingung khan?😦

  4. 10 November 2007 pukul 2:44 am

    @SI NOER77: hehehe… aku juga baru dengeran kali ini.😉 Tapi kalo emang ada brarti cukup menggangu donk yaa…😦

  5. 10 November 2007 pukul 7:57 am

    hohoh begono tho caranya para eblis hacker menjalankan prakteknya

    *angguk-angguk*

  6. 10 November 2007 pukul 9:44 pm

    udah mraktekin dulu di friendster hihihi… dapat password banyak sayah…

  7. 11 November 2007 pukul 3:30 pm

    @regsa: yup…mungkin. aku sih kagak pernah nyoba. hehehe…

    @Anang: weleh… diapakan tuh password? wah… bahaya nih acc friendsterku. hehehe…😆

  8. 13 November 2007 pukul 5:38 am

    hahaha… saya benci yang namanya Virus ^^

    ornag niat banget bikin virus ini itu, cuma buat ganggu orang lain aja! SEBEL

  9. 13 November 2007 pukul 9:47 am

    @Pitshu: hahaha… sabar… kalo gak ada virus kan kesabaranmu gak pernah teruji. hahahahaha…😆

  10. 15 November 2007 pukul 5:38 am

    ngomong pa’an sih? bingung…

  11. 15 November 2007 pukul 6:16 am

    hehehe… kalo bingung ya pegangan… hahahha…😆

  1. No trackbacks yet.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: