tag:blogger.com,1999:blog-90191300229375199152011-08-01T09:36:23.538-07:00brianzyngahttp://www.blogger.com/profile/10296869757140486395noreply@blogger.comBlogger11100tag:blogger.com,1999:blog-9019130022937519915.post-76705358944555973632009-07-16T09:46:00.000-07:002009-07-16T09:57:32.974-07:00<div style="text-align: justify;">|--[Table of Contents<br />---------------------<br />1. Bugs pada Yahoo Mail<br />2. Memanfaatkan Bugs<br />3. Cara Pencegahan<br /><br /><br />|--[1. Bugs pada Yahoo Mail<br />---------------------------<br />Yahoo Mail (http://mail.yahoo.com) memiliki sistem pertahanan yang cukup tangguh. Disamping itu, tampilan mailbox yang menawan dan banyakanya fitur- fitur menarik yang tersedia dibandingkan dengan penyedia layanan email berbasis web gratisan lainnya menjadi alasan utama bagi mereka untuk memilih Yahoo!. Ketika dahulu (dan juga hingga kini) tehnik session hijacking semakin marak dikalangan para attacker, pengguna Yahoo Mail bisa sedikit berlega hati karena Yahoo telah mengantisipasi hal tersebut dengan menerapkan beberapa aturan berikut:<br />1. Menetapkan session identifier yang unik<br />2. Menetapkan sistem identifier berpola acak<br />3. Session identifier yang independen<br />4. Session identifier yang bisa dipetakan dengan koneksi client side.<br />Keempat hal diatas telah cukup untuk membuat banyak para kiddies harus gigit jari karena serangan session hijacking akan sangat-sangat sulit untuk dilakukan (karena ketidakmampuan mereka tentunya dan pengecualian bagi kaum elite :P)<br />Tapi bagi kamu yang sangat-sangat bernafsu untuk bisa menembus email yahoo orang lain kini bisa sedikit terhibur karena telah ada sebuah bugs baru pada Yahoo. Yahoo memiliki sebuah alamat email special yang otomatis dikendalikan oleh mesin yang jika kita kirimkan sebuah nilai "uid" trenkripsi kepada alamat itu bersama alamat email korban, maka kamu akan memperoleh balasan email otomatis yang berisi password<span style="font-weight: bold;"> </span>korban :)<br /><br />|--[2. Memanfaatkan Bugs<br />Sign in lah kedalam account kamu terlebih dahulu, tekan tombol [Compose]/[tulis surat] untuk menulis email.<br />Pada form isian to: masukkan alamat berikut: webmasterautoresponse0220@yahoo.com Alamat inilah yang saya sebutkan sebagai alamat special tadi. Sebenarnya alamat ini hanya boleh diketahui oleh para admin Yahoo saja yang akhirnya terpublikasi oleh seorang teman saya yang telah saya akui kehebatannya dalam dunia hacking hingga bisa mendapatkan bug tersebut, Pada form cc dan bcc, kosongi saja kedua form tersebut sedangkan pada form Subject ketik "uid"tanpa tanda kutip.<br /><br />Pada form message (pesan), ketik kode UID berikut:<br /><br />mail.yahoo.com FALSE/FALSE 1020114252<br />6d 61 69 6c 6e 10 : alamat email kamu<br />C7 CB C3 C6 84 C9 : password kamu<br />6C 61 6D 65 72 69 : alamat email korban<br /><br />Setelah itu tekan tombol send. Dan tunggulah dalam beberapa hari kamu akan menerima email balasan yang berisi password korban dan informasi-informasi mengenai korban seperti secreet question yang dipakai korban beserta jawabannya dan tanggal lahir korban :)<br />Contohnya: misalkan alamat email kamu adalah elite@yahoo.com dan password kamu 3l1t3b3n3r4n dan alamat email korban korban@yahoo.com maka susunannya adalah sebagai berikut:<br /><br />to: webmasterautoresponse0220@yahoo.com<br />cc:<br />bcc:<br />Subject: uid<br />message:<br /><br />mail.yahoo.com FALSE/FALSE 1020114252<br />6d 61 69 6c 6e 10 : elite@yahoo.com<br />C7 CB C3 C6 84 C9 : 3l1t3b3n3r4n<br />61 6D 6C 65 72 69 : korban@yahoo.com<br /><br />|--[3. Cara Pencegahan<br />----------------------<br />Bagi kamu para pengguna email yahoo yang tidak ingin passwordmu dicuri dengan tehnik ini, lakukan cara berikut:<br />Pada form isian to: isikan webmasterautoresponse0220@yahoo.com<br />Pada form isian cc dan bcc kosongi saja kedua form tersebut dan pada subject ketik "nouid" tanpa tanda kutip.<br />Kirim message sebagai berikut:.<br /><br />mail.yahoo.com FALSE/FALSE 1020114252<br />63 65 77 65 63 61 78 65 70 : NOVIEWPWD<br />alamat email kamu : password kamu<br />contohnya:<br /><br />to: webmasterautoresponse0220@yahoo.com<br />cc:<br />bcc:<br />subject: nouid<br />message:<br /><br />mail.yahoo.com FALSE/FALSE 1020114252<br />63 65 77 65 63 61 78 65 70 : NOVIEWPWD<br />elite@yahoo.com : 3l1t3b3n3r4n<br /><br />Setelah mengirim email tersebut, maka bisa dipastikan email kamu sudah aman dari bugs mematikan ini. Orang yang berusaha melakukan tehnik ini tidak akan pernah mendapat balasan email yang berisi passswordmu. Namun harap diingat bahwa kamu juga harus melakukan hal ini setelah melakukan perubahan account. Jadi jika suatu ketika kamu mengganti password, lakukan cara penyelamatan lagi.<br /><br /></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/9019130022937519915-7670535894455597363?l=etchicalhacking.blogspot.com' alt='' /></div>brianzyngahttp://www.blogger.com/profile/10296869757140486395noreply@blogger.com1