langsung aja deh...
kalian pernah tidak, kehilangan sebuah password di akun facebook kalian??? terus bagaimana kah kalian merecovery password tersebut???
kalian akan menekan tombol "Forget password" atau "lupa kata sandi". nah... disitulah bug facebook berada.
sebenarnya teknik ini saya temukan saat mandi sambil mikir mikir dan kebetulan kemarin saya abis coba cracking di situs leecher. saya mencoba leeching sebuah webshell c99.php. ternyata ketika selesai dan saya akan mendownload file tersebut, bukan mulai mendownload, melainkan membuka c99.php tersebut sebagai halaman web... jadi berkuasalah saya mengotak atik system, pass admin, database, serta file file yang ada didalamnya :D.
saya menyadari, bahwa kebanyakan kelemahan sebuah website tersebut, terdapat pada tata susunan website itu sendiri dibuat.
okelah... cukup ceritanya. kita lanjut membahas bug facebook ini.
Pertanyaanya adalah :
apakah yang pihak facebook lakukan bila terdapat sebuah pengguna yang lupa akan passwordnya?Jawabanya adalah :
dengan cara reset password, pengguna akan dikirimi email berisi kode verifikasi kemudian akan dikirimi password baru untuk resetting.
nah... itu kalau si pengguna facebook inget ama password emailnya juga. lha kalau nggak???
facebook mensiasatinya dengan cara berikut ini:
1. pengguna akan dimintai email yang baru
2. pengguna akan dimintai memilih 3 ekor teman yang nantinya akan dikirimi sebuah kode konfirmasi
3. pengguna akan dimintai memasukkan ketiga kode konfirmasi tersebut kedalam form yang telah disediakan
4. email yang berisi reset password akan di kirim ke email yang diisikan di nomor 1 tadi.
5. selese dah...
Tanda merah pada tulisan tersebut merupakan letak kecacatan pada facebook yang sangant amat berbahaya. karena dengan cara itu, sang anonim dapat mendapatkan sebuah email dan password baru untuk sebuah akun yang akan di crack. degnan bermodalkan dari fitur facebook tersebut, mari kita buat sebuah skenario cracking.
yang kita perlu siapkan adalah 4 buah email. saya menyarankan menggunakan selain gm*il. karena agak sulit buat spamming. hehe
1. buat sebuah 3 akun facebook dengan menggunakan 3 email yang telah dibuat. kemudain ketika akun FB tadi, bertemanlah ke korban. tunggu sampe diterima jadi teman.
2. buka www.facebook.com/recover.php atau klik link "lupa password"
3. masukkan email target
4. kalo udah ketemu, klik yang udah ketemu tadi, nanti muncul seperti ini.
6. masukkan email sisa dari buat email tadi. rumit yah??? masukin email yan gmasih free. bukan yang udah dibuat bikin facebook tadi.
8. pilih 3 akun yang udah di buat di nomor satu tadi.
9. buka ketiga akun tersebut, maka akan ada pesan masuk yang berisi kode konfirmasi.
10. anda akan disuruh memasukkan kode tersebut.
11 .ketika anda mengklik next, maka email berisi password baru akan dikirim ke email anda yang baru.
12. gampang kan???
ingat... ini hanya membahas mengenai sebuah kecacatan yang ada pada situs tersebut untuk tujuan pendidikan. bukan berarti saya mengajari untuk acak acak facebook mantan, selingkuhan, atau para koruptor. semoga bermanfaat!!!
Posting Komentar
Give Ur eXPerience about this eXPerience...