World of WARCRAFT

Sumber : JASAKOM.com by Th0R

Bermain game memang menyenangkan, namun tak jarang juga orang menjadi kecanduan akan game tersebut, tidak usah jauh2x, kita lihat saja game game yang ada di Indonesia, Ragnarok Online, Seal Online, dan banyak game lainnya, semua nya bersifat addictive dan menyebabkan banyak orang bermain tanpa mengenal waktu.

Para pecandu game juga tak jarang yang kemudian berpikir, mengenai bagaimana cara untuk bermain "curang" dalam game tersebut. Berbagai cara keluar untuk mendapatkan Item / Jenis mata uang secara illegal didalam game tersebut. Bahkan tak jarang orangpun mulai berpikir untuk menaruh Keylogger pada komputer2x warnet dan mencuri login-password pemain
lain, untuk kemudian diambil barang2x nya. Tersebutlah sebuah game yang amat terkenal di dunia, World of WarCraft dengan lebih dari 9 juta pemain yang tergabung didalam nya. Serta sebuah game yang sangat berhasil pada masa komersialnya, dengan menjual 7,5 juta sample
CD mereka dihari peluncuran hanya dalam waktu 24 jam.

Menurut teman teman apakah game seperti ini bisa menjadi sasaran para gamer iseng? Wohh,
tentu saja! Item daripada game ini bisa dijual sangat mahal, bahkan dikarenakan game ini adalah USA Based, mata uang pembelian item di dalam game, menggunakan valuta asing yakni US$, AU$, SG$ hingga Euro, yang tentunya apabila dirupiahkan akan menjadi SANGAT MAHAL xD~

Bermain dengan WoW selama kurang lebih 2 bulan, saya telah menemukan beberapa tehnik untuk sekiranya dapat digunakan untuk bermain "curang", sayang nya pada kesempatan kali ini saya tidak akan membahas hal tersebut, melainkan akan lebih membahas pada kelemahan MUTLAK yang ada pada website http://www.worldofwarctaft.com
yang digunakan oleh para user game tersebut untuk melakukan Login, Managing Account, Payment, dan berbagai keperluan non-game lainnya, seperti forum diskusi, dan lain sebagainya.

Berkeliling ke berbagai website yang membahas mengenai kelemahan security pada website http://www.worldofwarcraft.com saya menemukan beberapa kelemahan pada system sanitasi website tersebut, yang dibeberkan oleh packetstormsecurity team, yang mana disclosure nya dapat dilihat lgsg di halaman ini: http://packetstormsecurity.nl/0707-advisories/blizzard-sanity.txt

Namun kebanyakan hal tersebut tidaklah begitu critical, dan setidaknya menurut saya tidak lgsg memberikan saya keuntungan dalam game. Maka saya kembali bermain2 dengan website http://www.worldofwarcraft.com tersebut secara manual dan setelah beberapa saat menemukan kelemahan sebagai berikut:

- Kelemahan ini saya kategorikan dalam XSS (Cross Site Scripting) Attack.

- https://www.worldofwarcraft.com/login/login?service=http://www.sate.name/

- Apabila orang login, dan Username serta Password nya BENAR, dia akan ter-redirect ke http://www.sate.name/

Bagaimana hal tersebut bisa menjadi sebuah keuntungan untuk para gamer WoW??!

Tentu saja dengan Scamming xD~

Dalam
kesempatan kali ini saya tidak akan menjelaskan panjang lebar mengenai php script untuk me-record username password pada tampilan palsu sebuah website, ataupun bagaimana cara membuat login webpage palsu, sebab semua nya dapat anda lihat pada archieve yang ada di http://www.sate.name/ pada bagian Tutorial. Oleh dari karena itu kita akan lgsg saja pada membayangkan apa yang mgkn kita lakukan dengan Bugs ini?!

- Buatlah link https://www.worldofwarcraft.com/login/login?service=http://website.palsu.anda/

- Lalu di alamat http://website.palsu.anda/ anda membuat sebuah tampilan palsu website Login WoW

- Tentunya dengan sedikit imbuhan "Login Error, Incorrect username password blablabla" (Sesuai dengan imajinasi anda)

- Buatlah website tersebut untuk melakukan record pada username and pass yang di SUBMIT

- Dan buatlah website tersebut untuk kembali melakukan redirection ke URL: https://www.worldofwarcraft.com/login/login?service=https%3A%2F%2Fworldofwarcraft.com%2Faccount%2Findex.html

- Maka anda akan mendapatkan username and password orang tersebut!

Penyebaran nya dapat dilakukan dengan banyak jalan, sesuai dengan kreatifitas kalian masing2x

NB:
Bagi para sesepuh di kalangan Internet Indonesia yang merasa sudah
sangat JAGO dalam hal hacking, mohon untuk tidak membaca artikel ini.
Mgkn kalian memang lebih jago, dan saya hanyalah seorang newbie yang
ingin berbagi apa yang secara kebetulan saya temukan.