Langsung ke konten utama

Celah Keamanan pada Youtube | Vulnerability



Seorang pakar keamanan telah menemukan sebuah celah kritikal pada website penyedia layanan streaming terbesar milik Google. Ya... YOUTUBE.

Celah ini dapat anda gunakan untuk memposting sebuah komentar dari seseorang yang anda inginkan pada video anda. Misalkan, anda telah mengupload video pada akun Youtube anda, kemudian anda ingin presiden Barack Obama, Menteri Pertahanan, ataupun Justing Bieber (*eh..) mengomentari video anda, gampang saja. Gampang saja, anda dapat menggunakan celah ini.

Celah ini ditemukan oleh pakar keamanan bernama Ahmed Aboul-Ela dan Ibrahim M. El-Sayed dari Mesir. Mereka mengaku telah menemukan trik sederhana untuk membuat (lebih tepatnya meng-copy) sebuah komentar pada sebuah video kemudian mem-paste-kannya pada video mereka tanpa harus menggunakan akun yang bersangkuta. Tidak hanya itu, anda bisa membuat sebuah komentar pada setiap discussion board pada Youtube muncul pada komentar video atau discussion board anda.

Bagaimana celah ini bisa dieksploitasi?
Well, sebernarnya sangat sederhana. Ketika pemilik video mengaktifkan fitur "Hold all coments for review" semua komen akan ditahan untuk di-review sehingga komentar dapat dikontrol sebelum akhirnya komentar diposting. Setiap komentar akan muncul pada https://www.youtube.com/comments dengan pilihan "approve" untuk memposting komentar dan "remove" untuk menghapus komentar.

Pada saat salah satu komentar anda approve sebuah request akan dikirimkan. Request tersebut mempunyai beberapa parameter, antara lain comment_id dan video_id. Ketika anda mengganti nilai dari video_id dengan nilai yang berbeda anda akan mendapati sebuah error, tapi.. bagaimana jika comment_id yang anda ganti?

Sound interesting, right?

 Ok, setelah anda mengganti nilai commend_id dengan nilai pada komentar lain tanpa harus merubah video_id maka komentar anda akan diterima oleh Youtube. Dan komentar tersebut akan berubah menjadi komentar berdasarkan nilai comment_id yang anda inputkan. Komentar tersebut tidak akan hilang dari video aslinya, melainkan hanya di salin saja.

Kalo masih bingung, anda bisa lihat video berikut ini:



Tentu celah ini telah diperbaiki dan jangan harap anda dapat menggunakannya lagi. Mereka berdua mendapatkan bug bounty dari Youtube sebesar $3,133.7 (setara dengan 40juta). WOW....

Tetep semangat ya... sering-sering main ke service nya Google. Kali aja bisa nemu. Heheee...




Labels:
Location: Jember, Jember Regency, East Java, Indonesia

Komentar

Posting Komentar

Terima kasih telah berkunjung.

Postingan populer dari blog ini

Hubungan Manis antara Conan Edogawa dan Haibara Ai.

( Hubungan Manis antara Conan Edogawa dan Haibara Ai)  Halo para Conaners, tahu kenyataan unik nggak. Ternyata Haibara Ai tuh demen lho sama Conan Edogawa. Tapi dia berusaha menyembunyikannya lantaran dia udah tau kalo Conan (Shinichi) tuh suka dan cinta sama Ran. Haibara yang kita ketahui mempunyai kepribadian dingin ini, tak gampang putus asa nih buat nunjukin kegigihannya untuk mendapatkan perhatian dari Conan. Yuk kita lihat, usaha apa saja yang dilakukan Haibara untuk menaklukan Conan :
179 komentar
Read more »

Live Streaming ke Banyak Media Sosial

Beberapa dekade terakhir, banyak sekali para gamer yang "nyambi" cari uang dengan melakukan live stream di media sosial terutama Facebook. Sebenarnya saya juga mulai kesel karena para fans live streamer sering membagikan live streaming-nya ke grup Facebook. Sehingga grup Facebook yang awalnya diperuntukkan sebagai media diskusi malah jadi ajang pencarian views. Spam dan annoying banget.
1 komentar
Read more »

Instalasi FreeRADIUS ft. daloRADIUS | [UPDATE - Study case pada Debian Buster]

NOTE: Artikel ini telah mengalami perubahan. Sebelumnya, versi sistem operasi yang saya gunakan adalah Debian Wheezy. Dengan menggunakan Debian Buster beberapa versi package  juga ikut berubah. Update package akan saya beri warna font merah Remote Authentication Dial-In User Service atau sering disebut dengan RADIUS adalah sebuah protokol jaringan yang melayani administrasi pengguna dalam penggunaan jaringan secara terpusat. Aspek pelayanan yang diberikan meliputi  Authetication, Authorization dan Accounting  yang kemudian disingkat AAA atau triple A . RADIUS akan sangat dibutuhkan oleh provider skala besar, misalkan  Internet Service Provider (ISP) . Untuk platform MikroTik, RADIUS sering dikenal dengan userman ( user manager ) karena tugasnya memang manajemen pengguna.
2 komentar
Read more »