Facebook kembali harus segera berbenah, edisi mobile dari facebook (m.facebook.com) sangat rentan untuk dieksploitasi. Contoh terbaru setelah wabah autolike facebook, kini beredar wabah autopost status di Facebook. Teknik yang dipakai oleh mereka yang ‘iseng’ ini adalah teknik XSS (cross site scripting), sebuah teknik injeksi sebuah script ke dalam suatu halaman web yang sedang dilihat oleh orang lain (pengguna lain).
Wabah autopost status facebook ini mendera pengguna facebook karena mereka mengunjungi URL yang sengaja menempatkan script XSS tersebut. Kelemahan yang diserang oleh script itu adalah file prompt_feed.php milik m.facebook.com.
Contohnya:
[sourcecode language=”php” wraplines=”true”]
<iframe id="CrazyDaVinci" style="display:none;" src="http://m.facebook.com/connect/prompt_feed.php?
display=wap&user_message_prompt=’
<script>window.onload=function(){document.forms[0].message.value=’Baru saja berkunjung ke
blog https://emka.web.id. Belajar seputar PHP dan Linux disana! ‘;
document.forms[0].submit();}</script>"></iframe>
[/sourcecode]
Contoh script diatas, menaruh sebuah iframe di halaman web yang mempost variabel ‘Baru saja berkunjung ke blog https://emka.web.id’ ke alamat http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt= yang celakanya tidak difilter maupun diverifikasi. Akibatnya, variabel ini akan ditulis sebagai status FB baru. Hal ini hanya mungkin terjadi bila masih halaman ini masih dimuat dalam satu window aplikasi dan dalam kondisi login FB.
Semoga Facebook cepat memperbaikinya!