.::. .:, ..::. :. .::. .,:: ,:. ..:,. ., .:. .:::. .::. ,::. : .::. .,, .::...., .:: .. .::. ..:: .:: ::. ., . .,::.. ::. .,::. : .::... , .::.... .,:: .::. ..:: ::. ,::.., .::. ::. ...::, : .::... .::.:.. .::: .::....:: ::. ,::.., ..::. ::. . .::.: .::.:. .::.... ,:: .::. ..:: ::, :::.., .::, . ::. . .::: .::... .::. .,M8.:M...M8..,M:~MD .MM .M7..MM::M..Z .MM: .M8:.MM8..D..,M,.:M .::. . , .::,.,~M8.?,::MM:. .N:~M8 :MM..MM::.~MD.M..,.MM8...M8:.MMMM.D:.,M,..I ..::,.,:: ,MMM? .7MM. ,MMMMMM..MM. .MM.M..,NM8. .M8. M.NMM8 .,MMM. ,M8.?...MM. ,M8 MM..MM .MM.M..:MM ...M8. M OMM .,M,.... ,M8...,.MM. .D ,M8 MM ?M. .NM..M..MM. 8..M8. M .OM .,M,..,,. ,88D8D8....NMM..,D888D8D8...8MM:. .M.DD888D8,D88888D. .$.88D88D8.. .M. .Z. echo|zine, volume 5 issue 17 PseudoRandom "0Day its not always 0 | Worm and how they evolve" Brought To You By : y3dips (y3dips/at/echo/or/id) Adalah Petko Petkov yang merupakan salah satu member dari GNUCITIZEN[1] dan ikut menulis sebuah buku terbitan syngress berjudul "XSS Attacks - Cross Site Scripting Exploits and Defence" sampai berujar dalam blognya[2] bahwa: "XSS is the New Buffer Overflow, JavaScript Malware is the New Shell Code." Sebuah ungkapan yang membuat aku memikirkan ulang jenis serangan ini, dan pada pseudorandom kali ini ingin sejenak mengajak kita semua melihat kebelakang. Cross Site Scripting [XSS] yang awalnya hanya di prediksi/anggap sebagai pelengkap aksi "Social engineering" untuk mendapatkan Credential victim dan bahkan tidak di anggap berbahaya dah dipandang sebelah mata oleh sebagian orang ternyata bisa berkembang menjadi momok yang menakutkan tentunya bagi penikmat WWW. Kasus "Samy worm" atau yang dikenal juga dengan "JS.Spacehero worm" membuktikan jika XSS bisa lebih berbahaya dibandingkan hanya merugikan satu user saja, tidak hanya sekedar mencuri "cookie" serta sekedar "menipu" 1 user saja. "Samy" yang berawal dari keisengan seorang pengguna myspace mampu membuat myspace bertekuk lutut hanya dalam 1 malam. Cara kerja samy yang membuat user lain yang melihat profil "pembuat worm" akan menjadi teman sekaligus "zombie aktif" yang apabila profil para "zombie" ini dilihat oleh user lainnya maka mereka pun akan berubah jadi teman pembuat samy dan menjadi "zombie lainnya". Tidak hanya sampai disini saja yang dapat dilakukan "SAMY", pembuat bisa saja memodifikasi worm tersebut supaya tidak hanya berfungsi untuk melakukan penambahan teman, tetapi bisa lebih dari itu :).[3][4] MEngutip dari berita yang di tulis di slashdot : "One clever MySpace user looking to expand his buddy list recently figured out how to force others to become his friend, and ended up creating the first self-propagating cross-site scripting (XSS) worm. In less than 24 hours, 'Samy' had amassed over 1 million friends on the popular online community. According to BetaNews, the worm's code utilized XMLHTTPRequest - a JavaScript object used in AJAX Web applications and was spreading at a rate of 1,000 users every few seconds before MySpace shut down its site. Thankfully, the script was written for fun and didn't try to take advantage of unpatched security holes in IE to create a massive MySpace botnet.[5]" Celah pada beberapa Web browser juga di anggap membantu penyebarannya, sebagai contoh browser akan tetap membaca "java\nscript" sebagai "javascript", sehingga salah satu trik untuk menghindari parsing XSS oleh web aplikasi bisa di hindari dengan mengganti strings tersebut, sebagai contoh : attacking script :