Siapa yang tidak kenal dengan Friendster? Situs pertemanan ini telah membooming sedemikian rupa dilihat dari jumlah membernya. Perubahan demi perubahan pun dilakukan untuk mengikuti trend dan style situs web, termasuk di antaranya menambahkan fitur media box.
Media box merupakan suatu tool yang dipakai oleh Friendster untuk memanjakan para membernya. Media box sendiri tidaklah lebih dari sekedar media player biasa, yaitu Windows Media Player. Seperti kita ketahui bahwa Windows Media Player dapat digunakan untuk memainkan tipe-tipe file musik dan video.
Untuk menggunakan media box ini, kita tidak bisa seenaknya saja memutar lagu di komputer kita dan meng-copy kan ke FS. Untuk memanfaatkan fasilitas media box ini, kita terlebih dahulu harus melakukan modifikasi terhadap source code HTML FS. Caranya cukup mudah, yaitu dengan memasuki jendela Customize Page, maka kita telah dapat melakukan perubahan terhadap tampilan FS kita, termasuk terhadap media box nya.
Seiring dengan fitur dan ketenaran FS, banyak media partner yang menyediakan akses gratis terhadap file musik dan video mereka untuk diputar secara otomatis di FS. Caranya juga cukup mudah. Kita tinggal mengunjungi situs partner tersebut, memilih file musik atau video yang ingin diputar di FS, meng-copy kan kode program embed nya ke FS kita. Save dan re-load halaman FS kita. Maka file yang kita pilih tadi akan langsung dimainkan di media box.
Lalu, di mana permasalahannya?
Terus terang ini bukanlah vurnerability terbaru dalam dunia internet. Bug ini cukup populer sekitar 2 tahun yang lalu di mana FS telah memasangkan fitur media box nya.
Efek dari penyerangan model ini adalah korban tidak bisa mengakses halaman profilenya (defaced) serta penyebarang virus atau worm ke komputer korban tanpa sepengetahuan korban.
Okay, let's see this stuff.
Yang akan menjadi korban kali ini adalah saya sendiri. Saya memasangkan sebuah link ke video YouTube pada FS saya. Hanya link, bukan embed.
Sebelum kita memulai, ada baiknya saya jelaskan terlebih dahulu bagaimana FS dapat memainkan file media ke dalam profile kita sementara file tersebut ada di situs lain.
1. Lokasi file.
Ya, FS sebenarnya tidak meng-copy kan file tersebut ke direktori servernya. FS hanya membutuhkan lokasi alamat file internet (link) yang akan me-refer ke file aslinya.
Contoh: (jangan di klik)
www.host1.com/type/musik/artist/muse/unintended.wma >> alamat asli file musik, contoh kali ini adalah Unintended dari Muse.
Lantas, bagaimana caranya mengakses file tersebut. Kita gunakan sintaks HTML embed maupun href
Contoh: (jangan di klik)
0 komentar