Friendster, banyak orang yang berinternet hanya karena menggunakan friendster… fasilitas yang disediakan juga cukup beragam, mulai dari halaman profil, messages, testimonial atau comments, news, blog, dan lain sebagainya. Dengan dukungan pendaftaran yang mudah, memungkinkan dari anak kecil sampe nenek-kakek juga bisa ikutan.. ^^ Berawal dari tugas mata kuliah “Net Secure II” mahasiswa di suruh mendeface satu web buat tugas akhirnya… dengan berbekal berbagai macam exploit, dan berbagai teknik scaning, footprinting, Enumerasi, SQL injection, PHP injection, lalu dengan bantuan software Acunetix, Kaht, sampe Backtract dan lain sebagainya. Akhirnya petualangan dimulai… huaa…. Ternyata waktu tidak memungkinkan untuk mengerjakan walau jangka waktu mengumpulkan masih lama, berbagai macam tugas organisasi n kerjaan numpuk, akhirnya petualangan di pending… hik..hik.. kok jadi curhat?????? Tadinya pengen mendongkrak satu situs dengan cara yang keren… tp… hik..hik…
Akhirnya, my Telkom Speedy di matiin buat bobo abis iseng maen FS… pada saat tidur, selalu kepikiran gimana caranya ngedeface situs… ough pusing… pas mau tidur, kepikiran my LuvlyGirl ‘n FS… apa hubungannya ya???? Hehehehehe… c Bule ngapain yach klo maen FS… suka message2 ma sapa yach??? Seandainya bisa tw e-mail n password FS-nya… hua…. Ternyata ide bagus…. Cara men-deface situs tanpa teknik yang bikin pusing, tanpa pake exploit yang macem-macem… huehehehehehe…..
To the point aza, banyak orang yang pengen bisa caranya gimana nge-hack friendster orang, atau bahasa kerennya “sabotase”… ^^ ini merupakan teknik yg saya bilang cupu... ada yg lumayan rada keren, lewat pencurian cookies... okelah, lewat kukis nanti aza di bahasnya...
Bermodalkan sedikit pengetahuan… hehehehe… ada yang namanya teknik sniffing… merupakan teknik pencurian data, tanpa target mengetahui bahwa datanya tw dicuri… gimana kalo e-mail n password-nya kita curi, tapi user target “bisa” mengetahui bahwa datanya dicuri… knapa bisa ketauaan, kita akan bahas nanti. maka saya namakan teknik Trapping (Jebakan).. garing banget dech namanya…
Okeh, friendster punya alamat di
http://www.friendster.com. Orang login pasti dialamat itu khan.. sebenrnya friendster punya kelemahan pada profil dan testimonial ataw commentnya… apakah kelemahan itu?? Mungkin pada sebagian orang testimonial itu bisa disisipkan tag HTML, gambar, bahkan flash ialah suatu fasilitas… tapi buat saya bukan, itu merupakan jalan menuju teknik perncurian data yang saya bilang di paragraph sebelumnya.
Saya coba berhayal, saya tiba-tiba membuka suatu profil seseorang di friendster. Tapi kok tiba-tiba FS minta saya memasukan e-mail dan password lagi seolah-olah logout dengan sendirinya… akhirnya tanpa rasa bersalah, saya masukan e-mail dan password FS saya… n saya klik sign in…
nah itu dia sekenario yg akan saya buat karena FS punya testimonial yang bisa di sisipkan tag HTML… dengan bantuan redirect… oya, buat sebagian aza yang ga tw redirect, redirect itu merupakan suatu script yg bisa memindahkan satu halaman web ke halaman yang lain secara otomatis..
Teknik yang saya namakan Trapping ini secara terori ialah sebagai berikut… karena testimonial di FS bisa disisipkan tag HTML, saya akan buat supaya halaman profil seseorang men-redirect ke halaman web yg lain.
Awalnya saya masukan tag HTML… pasti tentunya bisa… lalu saya coba masukin tag JAVASCRIPT, yah sayang sekali ga bisa… coba dech pake PHP soalnya pas pake Acunetix, FS pake apache… yah… sayang sekali PHP juga ga bisa… tadinya saya mau masukin script java ato PHP buat redirect halaman profil… kenapa musti di redirect…
Akhirnya, setelah bertapa n mikir, testimonial FS kan bisa disisipkan objek flash… n Flash punya script buat redirect halaman web.. ok… setelah saya coba,,,, huehehehehe… ternyata bisa… hahahaha… Action script buat Redirect flash getURL("http://friendster.isff.com");
Yupz.. langkah beikutnya… saya akan buat halaman login palsu,, hihihihi,,, saya save halaman login dari
http://www.friendster.com/login.php lalu saya edit-edit dikit tag HTML halaman login terutama bagian tombol SIGN IN, targetnya dipindahkan ke script php yang selanjutnya saya buat script PHP supaya data e-mail n passwordnya otomatis akan dikirimkan ke e-mail saya pada saat user target klik tombol SIGN IN.. Script php buat kirim ke email bisa di pelajari di
http://id.php.net/function.mail.Ok, saya upload halaman login palsu itu ke hosting sewaan… ^^.. tentu saja hostingnya harus ngedukung PHP biar script PHPnya bisa berjalan dengan baik.
Okeh, saya test halaman loginnya… n berhasil…
Lanjut.. langkang berikutnya lagi.. saya cari situs penyedia nama sub domain gratisan… akhirnya dapet n saya dapetin mana friendster palsu, yaitu..
http://friendster.isff.com... Hihihih…. Knapa saya bilang teknik pencurian data ini bisa ketahuan… karena ada “isff.com” ini lho… jadi orang akan curiga… tapi kadang orang-orang udah ga perhatiin alamat ini klo FS yg asli dah kebuka…
Lanjut… lalu saya masukin tujuan dari alamat
http://www.friendster.isff.com ke halaman login FS palsu di hosting saya… hehehehe..
Selanjutnya, saya buat objek flash kosong, cuman ada sript redirectnya aza ke alamat
http://www.friendster.isff.com.. truz saya save ke swf.. lalu saya upload ke hosting saya juga… saya test buka object flashnya, ternyata redirect langsung ke alamat
http://www.friendster.isff.com.. Hihihihih.. perjalannya dah setengah jalan…
Akhirnya, saya masukan script object flash ke testimonial FS saya… buat test, diri sendiri rela menjadi kelinci percobaan.. hehehe… ternyata saat saya buka profil saya… ops… kok halaman login yg keluar,,, terus saya masukan e-mail n passwordnya, n saya klik tombol SIGN IN… ternyata e-mail n passwornya ada di e-mail saya… hihihihi… akhirnya berhasil juga…
Saya masukan script object flash ini ke beberapa testimonial FS… all hasil, selama 1 minggu, saya dapetin kurang lebih 1000 useraccout FS.. hihihihi..termasuk user accout myLuvlyGirl… hihihih.. ^^ n saya bisa buka n saya deface…. N akhirnya tugas mata kuliah “Net Secure II” selesai juga…
Oya, teknik ini punya kelemahan… profil fs yg dimasukin script object Flash ini, bakal terus-teusan nge-redirect.. so ga bisa diliat… tapi bisa aza asal plugin Flashnya dimatiin… hihihihihi…. Mau ngilanginnya juga gampang, tinggal hapus testimonial dari orang yg masukin script object Flash ini… okay… semoga cerita ini membawa inspirasi buat yg baca… sengaja dibikin panjang, supaya males pada baca.. hihihih… ^^…