Bahaya Self-XSS Mencuri Akun Facebook

Bahaya Self-XSS Mencuri Akun FacebookShare on FacebookTwitterTwitter

Self-XSS

Biasanya berupa code javascript yang disembunyikan, code javascript ini dijalankan secara mandiri (self), umumnya code di operasikan menggunakan console browser, atau melalui Addons (Firefox) / Extensi (Chrome).

Penyerang akan berusaha menipu korbannya agar mau memasukkan suatu code ke console dan menjalankannya, target korban biasanya yang awam akan code javascript, atau code javascript yang di sembunyikan (enkripsi).

Contoh Self-XSS mencuri login facebook

Sebagai pembelajaran, kita akan berpura pura menjadi korban dan mempelajari bagaimana cara penyerang mencuri akun Facebook kita.

1.TUGAS PENYERANG

  • Menyebarkan informasi fiktif yang menggiurkan, targetnya para pengguna Facebook.
    Contoh :
    • "Hack Pulsa pakai Facebook",
    • "Cara sadap HP pakai Facebook",
    • "Cara hack akun FB mantan",
    • dll, yg berhubungan dengan Facebook.
  • Memberikan informasi agar Korban menyalin suatu code dan menjalankannya.
  • Mendapat akun korban yang tertipu.

2.SEBAGAI KORBAN

  • Cukup copy paste code ke console lalu tekan enter sekuat tenaga ^_^

Contoh Code Self-XSS attack

Sesi Login user selalu tersimpan dalam browser berupa cookie , atau bisa juga menggunakan localStorage untuk tempo login yang lebih lama, jadi penyerang akan membuat code yang berusaha mengambil data login tsb. berikut contoh codenya:

Mengambil cookie dan localStorge

function contoh(){
    /*Ambil Data Cookie*/
    var dataCookie = decodeURIComponent(document.cookie);
    var showCookie = "DATA COOKIE :\n" + dataCookie.replace(/;/gi, '\n');
   
    /*Ambil Data localStorage*/
    var dataStorage='';
    for (i = 0; i < localStorage.length; i++) {
        var key=localStorage.key(i);
        dataStorage += key+':'+localStorage.getItem(key)+'\n';
    }
    var showStorage = "DATA STORAGE :\n" + dataStorage;
   
    /*Contoh Tampilan Data*/
    alert(showCookie + '\n\n' + showStorage);
};
/*Run javascript*/
contoh();
*/ Karena ini hanya sebuah contoh, maka fungsi diatas hanya ane jadikan alert box.

Untuk  melihat hasilnya, silahkan buka facebook,
kemudian masuk ke menu console browser dengan menekan CTRL + SHIFT + K

Console self-xss


Pada praktek yang sebenarnya, Penyerang akan mencuri data di atas dan menggunakannya untuk bypass login, jadi dengan adanya data cookie dan storage, penyerang tidak perlu lagi memasukkan User dan password untuk Login, cukup inject cookie dan storage,  secara otomatis penyerang akan masuk sebagai akun Korban.

Hindari Self-XSS

  • Kalau tidak paham javascript, jangan copy paste code orang lain ke dalam console.
  • Selalu ingat untuk LogOut sebelum mencoba code yg mencurigakan.
  • Gunakan mode Private Window, agar cookie dan storage tidak tersimpan.
  • Selalu Login melalui website aslinya.