Copy Link
Add to Bookmark
Report
Echo Magazine Issue 17 Phile 0x002
.::. .:, ..::. :. .::. .,:: ,:. ..:,. ., .:. .:::. .::. ,::. : .::. .,,
.::...., .:: .. .::. ..:: .:: ::. ., . .,::.. ::. .,::. : .::... ,
.::.... .,:: .::. ..:: ::. ,::.., .::. ::. ...::, : .::...
.::.:.. .::: .::....:: ::. ,::.., ..::. ::. . .::.: .::.:.
.::.... ,:: .::. ..:: ::, :::.., .::, . ::. . .::: .::...
.::. .,M8.:M...M8..,M:~MD .MM .M7..MM::M..Z .MM: .M8:.MM8..D..,M,.:M .::. . ,
.::,.,~M8.?,::MM:. .N:~M8 :MM..MM::.~MD.M..,.MM8...M8:.MMMM.D:.,M,..I ..::,.,::
,MMM? .7MM. ,MMMMMM..MM. .MM.M..,NM8. .M8. M.NMM8 .,MMM.
,M8.?...MM. ,M8 MM..MM .MM.M..:MM ...M8. M OMM .,M,....
,M8...,.MM. .D ,M8 MM ?M. .NM..M..MM. 8..M8. M .OM .,M,..,,.
,88D8D8....NMM..,D888D8D8...8MM:. .M.DD888D8,D88888D. .$.88D88D8..
.M.
.Z.
echo|zine, volume 5 issue 17
PseudoRandom "0Day its not always 0 | Worm and how they evolve"
Brought To You By : y3dips (y3dips/at/echo/or/id)
Adalah Petko Petkov yang merupakan salah satu member dari GNUCITIZEN[1] dan ikut menulis
sebuah buku terbitan syngress berjudul "XSS Attacks - Cross Site Scripting Exploits and Defence"
sampai berujar dalam blognya[2] bahwa:
"XSS is the New Buffer Overflow, JavaScript Malware is the New Shell Code."
Sebuah ungkapan yang membuat aku memikirkan ulang jenis serangan ini, dan pada pseudorandom kali
ini ingin sejenak mengajak kita semua melihat kebelakang.
Cross Site Scripting [XSS] yang awalnya hanya di prediksi/anggap sebagai
pelengkap aksi "Social engineering" untuk mendapatkan Credential victim dan
bahkan tidak di anggap berbahaya dah dipandang sebelah mata oleh sebagian orang
ternyata bisa berkembang menjadi momok yang menakutkan tentunya bagi penikmat WWW.
Kasus "Samy worm" atau yang dikenal juga dengan "JS.Spacehero worm" membuktikan jika XSS
bisa lebih berbahaya dibandingkan hanya merugikan satu user saja, tidak hanya sekedar mencuri "cookie"
serta sekedar "menipu" 1 user saja. "Samy" yang berawal dari keisengan seorang pengguna myspace
mampu membuat myspace bertekuk lutut hanya dalam 1 malam. Cara kerja samy yang membuat user
lain yang melihat profil "pembuat worm" akan menjadi teman sekaligus "zombie aktif" yang apabila
profil para "zombie" ini dilihat oleh user lainnya maka mereka pun akan berubah jadi teman
pembuat samy dan menjadi "zombie lainnya". Tidak hanya sampai disini saja yang dapat dilakukan "SAMY",
pembuat bisa saja memodifikasi worm tersebut supaya tidak hanya berfungsi untuk
melakukan penambahan teman, tetapi bisa lebih dari itu :).[3][4]
MEngutip dari berita yang di tulis di slashdot : "One clever MySpace user looking
to expand his buddy list recently figured out how to force others to become his friend,
and ended up creating the first self-propagating cross-site scripting (XSS) worm.
In less than 24 hours, 'Samy' had amassed over 1 million friends on the popular online community.
According to BetaNews, the worm's code utilized XMLHTTPRequest - a JavaScript object used in
AJAX Web applications and was spreading at a rate of 1,000 users every few seconds before
MySpace shut down its site. Thankfully, the script was written for fun and didn't try to
take advantage of unpatched security holes in IE to create a massive MySpace botnet.[5]"
Celah pada beberapa Web browser juga di anggap membantu penyebarannya, sebagai
contoh browser akan tetap membaca "java\nscript" sebagai "javascript", sehingga salah satu
trik untuk menghindari parsing XSS oleh web aplikasi bisa di hindari dengan mengganti
strings tersebut, sebagai contoh :
attacking script :
<div id="pwned" expr="alert('0\/\/n3d j00!')" style="background:url('javascript:eval(document.all.mycode.expr)')">
menjadi:
<div id="pwned" expr="alert('0\/\/n3d j00!')" style="background:url('java
script:eval(document.all.mycode.expr)')">
dan browserpun akan mengijinkan script ini di eksekusi sekaligus membuatnya membypass parsing
web aplikasi.
Celah sejenis pernah aku terapkan langsung di salah satu web pertemanan lainnya yang
hampir sejenis, dan "berhasil". Tetapi tidak pernah aku publish, ow yah ada satu yang aku publish
tetapi hanya untuk membantu teman-teman mempercantik halaman blognya (sampai sekarang masih
diijinkan oleh situs pertemanan itu)[6], dan jika teman-teman memperhatikan tidak hanya sampai
disitu karena sedihnya lagi, ini bisa juga di buat menjadi "berbahaya".
Lupakan sejenak soal MySpace dan lihatlah berbagai situs yang memberikan layanan publik
bahkan situs yang diperuntukkan secara ekslusif untuk kalangan tertentu tetap saja memiliki
celah ini. Belum genap 1 bulan yang lalu Christian Matthies meng"ultimatum" Google/YOuTube
dengan 40 Celah XSS [7] dan untungnya ditanggapi dengan serius dan baik oleh pihak google,
sehingga kita tidak perlu melihat dan merasakan kembali dampak yang timbul oleh celah-celah
tersebut. Jadi, Serangan itu(not 0day) terus berkembang(evolve) dan memperbaiki diri [8].
[1] Gnucitizen.org
[2] http://www.gnucitizen.org/projects/xss-attacks-cross-site-scripting-exploits-and-defence
[3] http://namb.la/popular
[4] http://y3d1ps.blogspot.com/2005/10/xss-worm-floods-myspace.html
[5] http://it.slashdot.org/it/05/10/14/126233.shtml?tid=172&tid=95&tid=220
[6] http://y3d1ps.blogspot.com/2005/12/ngakalin-header-blog-friendster.html
[7] http://christ1an.blogspot.com/2007/05/they-are-not-allowed-to.html
[8] http://ha.ckers.org/xss.html
*- $02dottxt - echo|zine - issue#17 - 070707 -*
