Klik jacking fb hacking
24 oktober 2012akun fb gw yang di akses&dipakai oleh orang yang tidak berhak.
dan digunakan untuk berkata2
yang tidak pantas di salah satu fanpage.
but how...?
setelah mengamankan akun dan mulailah mencari
jawaban untuk pertanyaan di atas.
dengan modal :
fakta :
1. Gw ga pernah pakai gadget mobile untuk login
(selalu akses dari pc) jadi ga mungkin kalau akun gw kena mobile spyware
2. Pc yang gw pake dijamin bersih 100%
3. gw sharing password sih tapi dengan orang yang sangat gw percaya. ;') ;')
4. gw selalu running menggunakan https dan jaringan gw sangat gw ketahui.
(kemungkinan serangan di LAN seperti MITM,sniffer,
spoffing,cookie stealer,session hijack,dll, jadi nol)
5. apakah gw pernah jadi korban fake login/phising ?
gak mungkin masalah ketikan di URL tab
gw termasuk orang yang sangat hati2 dan teliti.
dengan kesimpulan di atas berati kecil kemungkinan
fb gw di akses dari client side.
berarti server side dong...???
wiiiihhh sakti neh orang kalu iya....
(anggapan sementara yakin sih enggak.)
Bolak balik di akun fb gw masih saja tidak terlihat ada hal aneh.
karna facebook sebelum nya sudah gw bersihkan
maka kembali gw pelototin gambar screen capture/screenshot
dari postingan tanggal 24 tsb.
(screen capture adalah kebiasaan gw jika mengalami kepanikan)
Ternyata update itu melalui sebuah aplikasi facebook.
(via xxxxx) nama applikasi di sensor saja
hah....? kapan gw pakai aplikasi itu perasaan ga pernah.
ok ini bukan hal aneh udah rahasia umum kalau click jacking itu ada di mana2
sedikit tentang click jacking
-click jacking pada facebook bekerja tanpa disadari,
-saat kita sedang browsing2 di sebuah/beberapa tab
dan di tab lain pada browser yang sama sedang buka facebook.
-jika web/halaman yang dikunjungi terdapat jebakan clik jacking
maka jika "klik/klik kanan" terjadi otomatis halaman tersebut membuat
facebook menjalankan perintah yang ada di halaman tersebut.
ok stop bahas clik jacking nya bisa panjang.
kesimpulan sementara
berati gw korban clik jacking. hehehe
kembali muncul pertanyaan
klik jacking kok bisa sampai update status dan komen ?
biasa nya akun dari korban klik jacking cuma
ngelike atau subscribe atau share tanpa disadari...
Saking Penasaran jadi gw datangi intinya buat cari tau .
https://developers.facebook.com
setelah ngubek2 beberapa lama jadi ngerti juga
ternyata gw juga menjadi korban akses token app fb.
simple nya :
dengan penggunaan logger + id applikasi
maka token korban akan di dapatkan dengan mudah.
contoh request yang ditambahkan pada klik jack:
https://www.facebook.com/dialog/permissions.request?app_id=xxxxxx&next=http://www.facebook.com/&response_type=token
xxxxxx adalah id applikasi
tentang token dan opengraph protocol
https://developers.facebook.com/docs/opengraphprotocol/
tentang penggunaan token app
https://developers.facebook.com/docs/opengraph/using-app-tokens/
tentang autentikasi/ijin app
https://developers.facebook.com/docs/opengraph/authentication/
ok lanjut.
orang yang develop/membangun applikasi
jika dia memasukkan settinggan :
user permission "publish_actions"
ini berfungsi publish, dan jika ditambah akses tokenya kejadian deh....
contoh : link request permission yang kompleks :
https://www.facebook.com/dialog/permissions.request?app_id=disensorya
&disensorya
&disensorya
&response_type=token
&perms=
user_about_me,
user_activities,
user_birthday,
user_checkins,
user_education_history,
user_events,
user_groups,
user_hometown,
user_interests,
user_likes,
user_location,
user_notes,
user_photos,
user_questions,
user_relationships,
user_relationship_details,
user_religion_politics,
user_status,
user_subscriptions,
user_videos,
user_website,
user_work_history,
email,
friends_about_me,
friends_activities,
friends_birthday,
friends_checkins,
friends_education_history,
friends_events,
friends_groups,
friends_hometown,
friends_interests,
friends_likes,
friends_location,
friends_notes,
friends_photos,
friends_questions,
friends_relationships,
friends_relationship_details,
friends_religion_politics,
friends_status,
friends_subscriptions,
friends_videos,
friends_website,
friends_work_history,
read_friendlists,
read_insights,
read_mailbox,
read_requests,
read_stream,
xmpp_login,
create_event,
manage_friendlists,
manage_notifications,
user_online_presence,
friends_online_presence,
publish_checkins,
publish_stream,
rsvp_event,
publish_actions,
offline_access
berikut fungsi2 permission:
https://developers.facebook.com/docs/reference/login/basic-info/
https://developers.facebook.com/docs/reference/login/extended-permissions/
https://developers.facebook.com/docs/reference/login/open-graph-permissions/
https://developers.facebook.com/docs/reference/login/page-permissions/
https://developers.facebook.com/docs/reference/login/user-friend-permissions/
wew segitu banyak jika ditambahkan semua,
maka applikasi bisa sangat berkuasa terhadap akun pengguna/user
bahkan pada
https://developers.facebook.com/docs/reference/login/extended-permissions/
ada "read_mailbox" = ◄ tebak sendiri ini bisa dipakai buat apa...? cakakakaka.....
Kalau di bilang hoax liaht dulu gbr ini :korban nya manusia2 sok hacker semua cakakaka
ok lanjut lagi
gimana status seseorang bisa di update oleh orang lain ?
ya tinggal memanipulasi proses publish.
kan proses publish sudah diijinkan by user waktu pertamakali korban
memakai applikasi dan token tentu saja di dapatkan.
Contoh url update status korban :
update text only :
https://graph.facebook.com/id facebook/feed?method=POST&message=kata yang akan di update&access_token=token code korban
update gambar dan text di wall korban:
https://graph.facebook.com/photos?url=URL gambar atau foto&method=POST&message=kata yang akan di update&access_token=token code korban
dan ternyata banyak lagi teknis opengraph yang bisa di exploitasi
mulai dari update status hingga baca inbox.
Kesimpulan + tips biar fb loe ga di kerjain by user token:
1.hati2 saat browsing sambil facebookan atau pun di wall fb
jangan asal klik meskipun beda tab
2.Jangan sembarangan memakai applikasi yang ada di facebook
(seperti update status via ini itu,bom like,kalender ini itu,bintang zodiak,ramalan ini,
arisan like,auto ini auto itu,siapa yang ini siapa yang itu.)
intinya:
kalau tidak yakin sama si pembuat applikasi
remove saja aplikasi nya dan jangan pakai sembarangan applikasi.
3.Jika teman atau keluarga anda tiba2
wall facebook nya postingan nya jadi yang aneh2
jangan di omelin dulu bisa saja dia cuma korban token.
case close...!
Ternyata fb gw cuma di akses kode token.
Mirror from
~jakarta~ *click jacking*
we do green...
No comments:
Post a Comment
Thank's
We will contact you soon..