Tuesday, June 17, 2014

Cara kerja eksploitasi XSS pada tweeter terkuak

Frizmedia.com - TweetDeck adalah aplikasi Twitter yang sangat populer (dengan pangsa pasar 23% per Juni 2009). Aplikasi ini diakuisisi oleh Twitter pada 25 Mei 2011.

Dilansir oleh acunetix, pada hari Rabu, pengguna @ derGeruhn, dieksploitasi XSS disimpan (cross-site scripting) kerentanan dalam aplikasi TweetDeck dan menciptakan cacing yang mempengaruhi 82.138 pengguna Twitter dan memaksa mereka untuk men-retweet pesan tertentu.

Berikut adalah pesan tweet asli:


Mari kita lihat cara kerjanya:

1. <script class="xss">
Tweet dimulai dengan membuka tag script inline. Tag script diidentifikasi dengan class XSS sehingga dapat dirujuk kemudian. Ini adalah kerentanan XSS yang dieksploitasi oleh @ derGeruhn, pada aplikasi web yang aman tidak memungkinkan hacker untuk menyisipkan tag script.

2. $('.xss').parents().eq(1).find('a').eq(1).click();

  • $ - Ini adalah library jQuery, TweetDeck menggunakan jQuery sehingga penyerang dapat menggunakannya juga.
  • $('.xss') - Bagian ini memberitahu jQuery untuk memilih tag HTML yang memiliki class XSS. Ingat bahwa tag script tersebut disuntikkan oleh penyerang yang memiliki class XSS? Tag script pada dasarnya dapat memilih sendiri.
  • $('.xss').parents().eq(1) - selanjutnya, memilih parents kedua tag tersebut. parents() akan mengembalikan set parent dari tag script dan eq (1) berarti untuk memilih elemen pada indeks 1 dalam keadaan yang cocok. Ini berarti bahwa ia akan memilih wadah tweet.
  • $('.xss').parents().eq(1).find('a').eq(1).click(); dari wadah ini, sekarang mencari semua tag (semua link) dari wadah ini dan memilih lagi yang kedua. Mengapa? Karena link kedua dari wadah adalah link retweet - kemudian klik ini link.


    3. $('[data-action=retweet]').click();
    Namun hal ini tidak cukup, klik pada link tweet tidak secara otomatis-men-retweet link, itu hanya menunjukkan sebuah popup pesan konfirmasi. Ini bagian dari kode untuk memilih tombol tweet dan klik di atasnya untuk konfirmasi. Tweet itu di-retweeted tanpa campur tangan pengguna. Semua followers sekarang akan melihat pesan ini dan mungkin otomatis retweet (jika mereka menggunakan TweetDeck). Ini adalah bagaimana cara worm menyebar.

    4. alert('XSS in Tweetdeck')
    Bagian terakhir dari kode ini hanya untuk membuat popup / pesan peringatan untuk memperingatkan pengguna ada kerentanan XSS di TweetDeck.

    Sungguh menarik bahwa tweet persis 140 karakter (ukuran maksimum pesan tweet). Mengeksploitasi139 karakter dan karakter terakhir adalah Emoji (Gambar hati berwarna merah). Tampaknya bahwa kerentanan itu disebabkan oleh kode yang bertanggung jawab dengan parsing gambar Emoji.
    Back To Top