Salam,

Kebiasaan bagi web developer, antara add-on yang popular di Mozilla Firefox ialah Firebug. Hal ini adalah untuk memudahkan sebarang pindaan dibuat kepada page tersebut. Firebug ini memudahkan Dekan mengaplikasi sebarang pindaan tanpa perlu membuka kembali coding dan upload sekerap mungkin supaya ia menjadi seperti dikehendaki.

Dan disebabkan sebelum ini Dekan jarang menggunakan Chrome, maka alkisahnya dua minggu lepas, semasa Dekan menghadiri satu bengkel berkaitan tenaga, cuma satu plug power sahaja dibekalkan, menyebabkan Dekan terpaksa berkongsi komputer dengan awek sebelah. Awek ini pula, keteradvancenan cuma mempunyai Google Chrome sahaja selain IE.

IE memang dah out dah bagi Dekan, jadi, Dekan pun gunalah Chrome Browser beliau. Semasa membuka mail.yahoo.com, ops, kelihatan nama beliau dan password yang di-asteriskkan. Tanpa Dekan sedari, tangan ini meright-click dan menekan ‘Inspect Element’ dan… well, sekian terima kasih.

Rupa-rupanya Inspect Elemen ini sama seperti Firebug add-ons Firefox, maka dengan mengubah sedikit sahaja coding, terpaparlah passwordnya. Credit to Mr A, rakan jahatku dua tahun lepas kerana pelbagai trik-trik tersebut masih boleh dipraktikkan.

Oleh itu berhati-hatilah ketika mahu save password di Chrome kerana walaupun terdapat pelbagai software yang boleh uncover that asterisk, namun hanya menggunakan browser tersebut sudah memadai.

P/S: It works on my housemates and colleagues also.

Assalamualaikum,

Jika anda seorang (atau berminat menjadi seorang) penganalisa ‘lubang-lubang keselamatan’ (wah, term. haha.), anda boleh mendapatkan ganjaran dengan hasil anda tersebut.

Walaupun agak lama Dekan tidak ‘berkecimpung’ dengan hiew, ollydbg dan sebagainya kembali, namun tawaran yang semakin meningkat oleh Mozilla dan Google agak memberansangkan. Dulu-dulu adalah jugak bercadang nak buat ‘kununnya’ sumber pendapatan sampingan (walaupun tak mahir, haha), namun usaha terbantut kerana Dekan beralih arah kepada ‘penganalisaan’ yang lain pula atas pertukaran kerja.

Jika anda mempelajari assembly language, seorang programmer yang boleh faham code yang decompile, dan juga pemprogram tool yang cikai2 pun xpe untuk fuzzing, maka, mungkin anda secara tidak langsung atau langsung boleh menjumpai vulnerability 0-day atau bug dalam software dan kemudian melaporkannya kepada pihak berkenaan untuk ganjaran. Tidak salah mencuba bukan.

Antara syarikat-syarikat yang menawarkan perkhidmatan ganjaran tersebut ialah:
1. iDefense Lab - Vulnerability Contributor Program (VCP)
2. Tipping Point - Zero Day Initiative
3. Google - The Chromium Project
4. Mozilla - Bug Bounty

Sekian sahaja info untuk anda. Jika cadang nak ajak Dekan join, tak pun nak letak nama Dekan, tak pun nak lepak dengan Dekan, just drop me email: admin [dhfdfbb] mywindowsxp.info . Gantikan [dhfdfbb] dengan @.

Sori lama nggak update. Tengok banyak pula fan, teruja kembali. Wah, banyak la sangat kan. Oklah, buat keje, buat keje. Asik merepek je Dekan neh.

Update/Muat turun Mozilla Firefox 3.6.2 untuk mengelakkan pelayar Firefox 3.6 anda dieksploitasi:

http://www.mozilla.com/en-US/firefox/3.6.2/releasenotes/