PENTING!!!


Rukun Iman terdiri dari enam perkara: (1) Iman kepada Allah. (2) Iman kepada malaikat-malaikat Allah. (3) Iman kepada kitab-kitab Allah. (4) Iman kepada rasul-rasul Allah. (5) Iman kepada hari kiamat. (6) Iman kepada Qada dan Qadar.

Rukun Islam terdiri dari lima perkara: (1) Mengucap dua kalimat syahadat. (2) Menunaikan shalat lima waktu. (3) Mengeluarkan zakat. (4) Berpuasa pada bulan Ramadan. (5) Menunaikan Haji bagi mereka yang mampu.

Microsoft Meremehkan Cookiejacking Vulnerability pada IE

Sunday, May 29, 2011 Diposkan oleh Anggit Supriyanto

Microsoft sudah tidak mempertimbangkan kehadiran bug pada Internet Explorer yang memungkinkan terjadinya serangan hijacking, tapi para peneliti keamanannya berpikir lain dengan melihat pengalaman yang sudah-sudah mendukung pendapat mereka.

Minggu lalu pada Hack in the Box security conference di Amsterdam, peneliti keamanan dari Italia, Rosario Valotta men-demo-kan serangan yang memanfaatkan zero-day vulnerability pada semua versi Internet Explorer untuk pencurian session cookies.

Session cookies adalah file teks berukuran kecil yang digunakan oleh website untuk melacak authentication user/pengguna. Dengan memiliki akses terhadap session cookie, attacker dapat mengendalikan (memiliki akses) account korban.

Oleh Valotta, serangan ini diberi nama cookiejacking karena menggabungkan bug pada IE dengan teknik clickjacking.

Pada dasarnya, itu adalah serangan social engineering yang mengelabui korbannya untuk berinteraksi dengan elemen halaman yang dibuat khusus oleh attacker.

Dalam hal ini, korban harus meng-klik dan drag sebuah elemen dan ada banyak cara untuk mengelabui korban agar melakukan hal itu. Contohnya dengan memberikan kepada mereka (korban) tampilan slider atau permainan seperti Angry Birds.

"Given the level of required user interaction, this issue is not one we consider high risk," kata juru bicara Microsoft - Jerry Bryant. "In order to possibly be impacted a user must visit a malicious website, be convinced to click and drag items around the page and the attacker would need to target a cookie from the website that the user was already logged into," tambahnya.

Tapi menurut Robert McArdle, senior theart research di Trend Micro, sebenarnya cukup mudah untuk meyakinkan pengguna/korban untuk melakukan itu (klik dan drag). Misalnya, serangan yang baru-baru ini terjadi di Facebook dimana pengguna diminta untuk secara manual meng-copy sebuah javascript ke address bar web browser mereka.

Serangan ini cukup berhasil dan kenyataannya banyak pengguna yang bersedia untuk melakukannya membuat tim keamanan perusahaan (Facebook) terkejut, menurut Joe Sullivan, chief security officer Facebook.

Intinya adalah jika anda bisa membuat seseorang untk meng-copy dan paste kode jahat, anda dapat dengan mudah membawa mereka (korban) ke slider, dan jika target anda adalah cookie session pada Facebook, anda akan memiliki semua bahan untuk memasukan worm (self-propapgating worm), terutama pada pengguna Internet Explorer.

Referensi : Softpedia

Label: , , , ,

0 komentar:

Post a Comment

Subscribe to: Post Comments (Atom)