RUSEFF WEBLOG: Awas Jebakan Betmen Via JavaScript Di Status Facebook

English French German Spain Italian Dutch Russian Portuguese Japanese Korean Arabic Chinese Simplified


Rabu, 30 Maret 2011

Awas Jebakan Betmen Via JavaScript Di Status Facebook

Prompt Feed Facebook

"jangan salahin w kalo lo bakal ngakak ngeliat ni orang http://tinyurl.com/sampahh"

Itulah salah satu kutipan yang saya dapati hari ini dari berbagai status di facebook. Masih banyak kutipan lain yang sejenis yang dalam status tersebut dicantumkan url-url pendek. Status-status ini sebenarnya adalah status-status siluman alias zombie yang bukan berasal dari pemilik akun facebook yang bersangkutan. Status-status ini merupakan status berantai yang dikirimkan secara otomatis ketika mengklik tautan yang terdapat pada status tersebut.

Dengan menggunakan layanan unshorten any URL, http://unshort.me, saya mencoba melihat link lengkap yang berada dari url-url pendek tersebut. Hasilnya? Berikut ini adalah singkatan untuk url singkat di atas.

  1. http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='%3Cscript%3Ewindow.onload=function(){document.forms[0].message.value='jangan%20salahin%20w%20kalo%20lo%20bakal%20ngakak%20ngeliat%20ni%20orang%20:D%20http://tinyurl.com/***pahh';document.forms[0].submit();}%3C/script%3E

Supaya mudah dibaca mungkin seperti ini,

  1. http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>
  2.   window.onload=function(){
  3.     document.forms[0].message.value='jangan salahin w kalo lo bakal ngakak ngeliat ni orang :D http://tinyurl.com/***pahh';
  4.     document.forms[0].submit();
  5.   }
  6. </script>

Jelas terlihat bahwa taktik yang digunakannya sebenarnya sederhana. Link ini membuka halaman http://m.facebook.com/connect/prompt_feed.php. Halaman ini sebenarnya merupakan halaman yang digunakan untuk menuliskan status untuk pengguna mobile. Berikutnya di belakang alamat tadi, eksploitasi kemudian dilakukan dengan JavaScript. Dengan memanggil fungsi window.onload untuk mengeksekusi perintah saat halaman terbuka. Status kemudian akan diset secara otomatis dengan nilai yang dicantumkan pada document.forms[0].message.value. Terakhir, form isian akan dikirim otomatis dengan fungsi document.forms[0].submit(). Sehingga jelas url tersebut tidak akan menampilkan apa-apa kecuali bahwa status kita telah terisi otomatis. Script ini sebenarnya masih bisa dimanipulasi lebih lanjut. Misalnya dengan membuka jendela baru (window.open) dan menutup jendela pembuka (window.opener), sehingga tidak akan terlihat penggantian status tadi (baca: mengelabui seakan-akan url singkat benar-benar ada). :)

Sekian penjelasan singkat dari saya, semoga bermanfaat. :)

Baca juga topik terkait:



Share |
Diposting oleh RUSEFF pada 16.26
Label: ,
blog comments powered by Disqus

Kabar terbaru!!! Kini anda dapat mengirimkan sms dengan gratis... Caranya cukup scroll pojok kiri bawah blog ini, tinggal masukin no HP tujuan dan ketik pesan anda, selanjutnya kirim deh.. Info lengkap klik disini