Aplikasi feedjit yang terletak di http://feedjit.com/ sering diguna pakai oleh para pengguna blog untuk mengetahui siapakah para pembaca blog tersebut. Namun tahukah sahabat bahawa aplikasi ini sebenarnya bersifat dinamik dan memungkinkan para penggodam menyusupkan kod-kod jahat yang mungkin menyebabkan blog sahabat boleh dirampas??
Saya sebenarnya sendiri tidak pasti akan hal ini namun apa saya pasti bahawa pemasangan aplikasi ini sebenarnya mungkin mengundang bahaya kerana ia membenarkan saya sendiri menyusupkan kod-kod yang saya mahu.
Gambar dibawah merupakan contoh request dari feedjit terhadap client iaitu saya sendiri dimana sepatutnya yang ditulis disitu ialah daripada mana saya datang namun ia telah dimanipulasi tersebut sehingga saya berjaya menulis perkataan "hahaha...." dan "syurga" tersebut 
itu hanyalah kod html dan bahayanya pula ialah bagaimana sekiranya "malicious code" atau kod jahat berbentuk java script berjaya menyusup masuk?sudah tentu kesannya lebih berat...insyaALlah mungkin perbincangan ini bersambung atau tidak ...hehe
sambungan:
emm mari kita lihat kenapa aplikasi ini boleh dimanipulasi...
melihat gambar diatas dengan menggunakan "live http headers" saya boleh mengetahui apakah yang berlaku didalam aplikasi website tertentu samada ianya menggunakan jenis GET,POST,HEAD dan beberapa jenis lagi. saya juga dapat mengetahui apakah permintaan oleh aplikasi feedjit sehinggakan feedjit mengetahui saya datang daripada site yang mana. oleh itu saya mengetahui bahawa feedjit akan menggunakan 'referer' untuk mengetahui site asal saya. oleh itu apa yang harus diperbuat ialah untuk hanya saya mengubah 'referer' tersebut dengan apa sahaja yang disukai oleh saya. emm jelas ke :D
Friday, June 12, 2009
Mungkinkah Blog boleh diserang menerusi aplikasi FEEDJIT??
Subscribe to:
Posts (Atom)
