ditatompel/insights
1
0
Fork 0
mirror of https://github.com/ditatompel/insights.git synced 2025-01-08 03:12:06 +07:00
Code Issues Projects Releases Packages Wiki Activity

chore(lint): Markdown lint

Browse source
This commit is contained in:
Cristian Ditaputratama 2024-06-06 00:39:45 +07:00
parent a62c573ca8
commit 01a244a9b2
Signed by: ditatompel
GPG key ID: 31D3D06D77950979
1 changed files with 13 additions and 21 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

30
content/blog/pelajaran-dari-mybb-fb-connect-plugin-xss-attack/index.id.md
View file

@ -1,6 +1,7 @@
---
title: "Pelajaran Dari MyBB FB Connect Plugin XSS Attack"
description: Artikel ini bertujuan untuk sharing pengetahuan bagaimana cara backtracking attacker, khususnya yang memanfaatkan aplikasi Facebook.
summary: Artikel ini bertujuan untuk sharing pengetahuan bagaimana cara backtracking attacker, khususnya yang memanfaatkan aplikasi Facebook.
date: 2011-12-01T23:53:39+07:00
lastmod:
draft: false
@ -19,32 +20,21 @@ tags:
- XSS
- Facebook
images:
# -
# menu:
# main:
# weight: 100
# params:
# icon:
# vendor: bs
# name: book
# color: '#e24d0e'
authors:
- ditatompel
---
Beberapa waktu lalu, saya kaget belakangan ini ketika saya lihat logs situs saya yang penuh dengan uji coba *security* dari **IP** Indonesia. Salah satunya **XSS** pada **MyBB Plugin** di salah *forum* saya. Artikel ini bertujuan untuk sharing pengetahuan saja bagaimana cara *'backtracking'* *attacker*, khususnya yang memanfaatkan aplikasi Facebook.
<!--more-->
Beberapa waktu lalu, saya kaget belakangan ini ketika saya lihat logs situs saya yang penuh dengan uji coba _security_ dari **IP** Indonesia. Salah satunya **XSS** pada **MyBB Plugin** di salah _forum_ saya. Artikel ini bertujuan untuk sharing pengetahuan saja bagaimana cara _'backtracking'_ _attacker_, khususnya yang memanfaatkan aplikasi Facebook.
> _**CATATAN**: pada artikel ini saya tidak menggunakan ID Facebook attacker yang sebenarnya karena saya menghargai sang attacker dan guide ini hanya untuk sharing pengetahuan saja._
Seperti apa yang sudah diinformasikan oleh om **badwolves1986** di `http://devilzc0de.org/forum/thread-11110.html` bahwa ada **XSS bug** pada **plugin fbconnect** untuk **MyBB** tersebut.
Begitu mengetahui bugs tersebut, saya memang belum sempat *'menutup'* celah2nya. Saya hanya sempat menambahkan *"permission tambahan"* pada plugin tersebut yang membuat saya **BERHAK** melakukan update status akun Facebook yang digunakan untuk registrasi. Perhatikan gambar di bawah ini :
Begitu mengetahui bugs tersebut, saya memang belum sempat _'menutup'_ celah2nya. Saya hanya sempat menambahkan _"permission tambahan"_ pada plugin tersebut yang membuat saya **BERHAK** melakukan update status akun Facebook yang digunakan untuk registrasi. Perhatikan gambar di bawah ini :
![FB Connect Permission Request](fbconnect-xss1.jpg#center)
Dari situ bisa dilihat bahwa aplikasi yang digunakan meminta permission lebih, yaitu : *"Post to Facebook as Me"* dan *"Access my data anytime"* setra beberapa data lainnya.
Dari situ bisa dilihat bahwa aplikasi yang digunakan meminta permission lebih, yaitu : _"Post to Facebook as Me"_ dan _"Access my data anytime"_ setra beberapa data lainnya.
Dan dari sini kita bisa mendapatkan data2 attacker. Mari kita lihat pada database :
@ -54,7 +44,7 @@ SELECT uid, username, fbuid FROM [namatableuserforumanda] WHERE uid = '[uidattac
Perlu diingat bahwa field `fbuid` akan otomatis ada jika anda menginstall **FB Connect Plugin** untuk **MyBB**.
Dari *query* tersebut kita mendapatkan **user ID Facebook Attacker**.
Dari _query_ tersebut kita mendapatkan **user ID Facebook Attacker**.
![Hasil QUery SQL](fbconnect-xss2.jpg#center)
@ -67,7 +57,7 @@ Benar sekali, **Facebook API**!
Kita bisa memanfaatkan **PHP Facebook SDK** dari [https://github.com/facebook/php-sdk](https://github.com/facebook/php-sdk).
Setelah didownload dan diupload ke webserver, mari kita buat *script* sederhana agar kita dapat melakukan update status profile Facebook attacker tersebut.
Setelah didownload dan diupload ke webserver, mari kita buat _script_ sederhana agar kita dapat melakukan update status profile Facebook attacker tersebut.
![PHP Facebook SDK](fbconnect-xss3.jpg#center)
@ -97,12 +87,13 @@ echo $fbinfo;
?>
```
Setelah itu upload ke situs anda dan eksekusi *script* tersebut. Maka anda telah berhasil melakukan update status pada akun Facebook attacker anda.
Setelah itu upload ke situs anda dan eksekusi _script_ tersebut. Maka anda telah berhasil melakukan update status pada akun Facebook attacker anda.
![Post menggunakan Facebook API](fbconnect-xss4.jpg#center)
Dari sini kita belajar beberapa hal:
1. *Covering track* itu perlu pada saat melakukan penyerangan sebuah situs.
1. _Covering track_ itu perlu pada saat melakukan penyerangan sebuah situs.
2. Jangan gunakan ID / Identitas keseharian anda pada saat melakukan testing.
Lalu, kalau sudah terlanjur memperbolehkan aplikasi tersebut untuk mengakses data2 ane gimana om?
@ -111,6 +102,7 @@ Masuk ke `http://www.facebook.com/settings/?tab=privacy`, lalu pilih **"Edit Set
Nah pada menu **"Apps you use"** ente bisa hapus aplikasi2 yang sekiranya tidak diperlukan.
buat yg ingin *anonymous*, hati2 dengan Facebook karena dia benar2 mengoleksi data-data kita.
buat yg ingin _anonymous_, hati2 dengan Facebook karena dia benar2 mengoleksi data-data kita.
> _Jangan lupa, selalu gunakan 'pengaman' saat melakukan adegan berbahaya.._