Month: May 2015

Nama Teman Itu Adalah Hamid

“Ruk Ruk”. Begitu panggilan teman teman kepada Hamid. Untuk teman teman dari SMA 7 mungkin semua tau panggilan ini, Si Jeruk. Iya, saya ini satu sekolah di SMA cuma beda jauh angkatannya. Mungkin karna badannya bulat, jadinya dipanggil Si Jeruk yang sekarang mungkin lebih dikenal sebagai @hmd, @bocahmiring, @mukiyo, dan @duajanuari. Sekitar 10 tahun-an masa pertemanan saya dengan beliau hingga pada tanggal 20 Mei kemarin meninggalkan saya, kita, kalian, dan semua yang mengenal Hamid.

10 tahun bukan merupakan waktu yang singkat untuk sebuah pertemanan.  Dan selama itu kowe ki wes dadi konco, sahabat, sedulur, rekan kerja, konco curhatku.

Kerja Bareng

Iya, bisa dibilang saya pernah kerja bareng beliau bersama mas Yan Arief, bahkan sempat merintis usaha bareng selama lebih dari 2 tahun bareng @masbenx juga di daerah Jogja bagian selatan. Selama itu juga tiap hari ketemu, bahkan tidur sekasur di kantor karena pada males pulang, dan lebih suka di kantor yang internetnya cukup kenceng.

Panggilan Kesayangan?

Ga cuma Hamid yang punya banyak panggilan, beliau sendiri juga sering ngasih panggilan aneh ke beberapa temannya. Misal saya “dyx”, “dugong” untuk @melissanfani, “tigor” untuk @aditsme, “sastro” untuk Agil, “Gali KAI” untuk @faridstevy dan beberapa untuk teman dekat lainnya. Bahkan pernah ngasih panggilan agak aneh ke mantannya (saat itu masih jadi pacar) yang ga bisa saya sebutkan namanya disini. Kelingan tragedi pizza hut, Mid? :))

Penghubung Pertemanan

Awal pertemanan ini sejak kelas 2 SMA, yang mana Hamid adalah alumni yang masih sering main ke sekolah. Karena hobi IT pada saat itu, saya dikenalkan oleh beliau melalui Wisnu @layangkangen, teman saya sejak kelas 1 SMA. Karna punya ketertarikan dengan dunia IT, klop lah kami dan semakin dekat ketika kelas 3 SMA.

Dari Hamid lah saya mengenal Koh @AfitHusni yang kemudian berlanjut ke dalam komunitas Jogtug. Sejak itu, melalui beliau saya mengenal orang orang hebat lainnya baik di Jogja maupun Jakarta. Pernyataan ini pun di iyakan oleh banyak teman yang cukup lama mengenal Hamid.

Oh ya, beliau juga yang menghubungkan beberapa orang aktivis online yang akhirnya sempat terbentuk Jogja Onliners, dan hinggal kini saling meluas lagi pertemanan di Jogja. Iya, awalnya karena Hamid dan Arga.

Pertanda

Ga ada yang nyangka dengan kepergian Hamid. Yang pada akhirnya sempat beberapa dari teman teman seperti Mbak Kiky, Baba @rasarab dan termasuk saya berpikir lagi. Seminggu terakhir sebelum kepergiannya, Hamid sering banget ngumpul atau srawung bareng temen temen. Seperti cerita Baba yang katanya dia dateng ke kantor Babaran dan nungguin Baba sampai bangun hingga siang, dan itu berlangsung hampir tiap hari. Lalu ketika dia ikutan nongkrong bareng anak anak Sewu Trip ke acara Festival Bango, yang sebenernya sangsi kalau Hamid mau dateng. Hamid tipikal males di keramaian dan berpanas panas ria.

Belum lagi, check in dari Path temen yang menyertakan dia tiap malam nongkrong di angkringannya Arga. “Kok tumben tumben e yo Ba” kataku kepada Baba. Hamid padahal termasuk yang paling males kalo harus ke utara (sleman) apalagi malam hari, kecuali untuk suatu keperluan.

Kesederhanaan, Idealis, Ngeyelan

Satu hal yang paling saya ingat dari seorang Hamid adalah kesederhanaannya. Selain idealis dan ngeyelannya dia. Satu kalimat dari Hamid yang pernah disampaikan untuk saya sekitar 1,5 tahun lalu :

Nek kowe wes gede, ojo lali

Yang artinya, kalau kamu sudah besar (sukses), jangan lupa (sama yang di bawah). Kalimat ini pernah juga saya teruskan dan sampaikan kepada beberapa teman terdekat seperti Baba dan @banumelody (kalo ga lupa).

Seperti cerita dia tentang beberapa kerjaannya sebelumnya, dia lebih memilih keluar daripada merepotkan orang lain atau daripada bikin ga enak orang lain. Hamid itu memang ngeyelan, ngeyel dari banyak hal. Saya, Tigor, Baba sampai geleng geleng kalo beliau udah begitu :))

Sempat kemarin saya bilang ke Melissa kalau saya kangen pagop pagop-an bareng Hamid. Iya ,saya sebenarnya lumayan sering adu argumen sama beliau, terlebih dalam hal idealisme.

Jodoku Piye?

Itu pertanyaan yang sering dilemparkan ke saya begitu selesai sesi obrolan, atau tanya “bar iki enak e ngapa ki?” Karna saking dekatnya dengan beliau, selain cerita tentang keluarganya, dia juga cerita tentang kisah cintanya yang kadang masih suka bikin galau dan beberapa kisah cintanya yang masih saya rahasiakan hingga kini. Ealah awak gede kok galau tho, Mid Mid :))

Sekarang Hamid secara sudah mendahului kita. Bukan hanya badannya yang lebar, tapi hatinya juga lebar. Bahkan mungkin karna badannya lebar, itu yang bikin saya dan teman teman susah melupakannya.

Sing tenang yo Mid, saiki rasah mikir duniawi meneh. Jodomu wes digolek e Gusti neng kono. Neng kono luwih indah seko Banda Neira. Kowe tetep guruku sak lawase. Salah siji uwong sing tak anggep paling pinter.

Suatu saat, kita blah bloh lagi di sana ya :’)

Zero Day XSS Vulnerability in WordPress 4.2

## Overview
Current versions of WordPress are vulnerable to a stored XSS.  An unauthenticated attacker can inject JavaScript in
WordPress comments. The script is triggered when the comment is viewed.

If triggered by a logged-in administrator, under default settings the attacker can leverage the vulnerability to
execute arbitrary code on the server via the plugin and theme editors.

Alternatively the attacker could change the administrator’s password, create new administrator accounts,
or do whatever else the currently logged-in administrator can do on the target system.

## Details
If the comment text is long enough, it will be truncated when inserted in the database.
The MySQL TEXT type size limit is 64 kilobytes, so the comment has to be quite long.

The truncation results in malformed HTML generated on the page.
The attacker can supply any attributes in the allowed HTML tags, in the same way
as with the two recently published stored XSS vulnerabilities affecting the WordPress core.

The vulnerability bears a similarity to the one reported by Cedric Van Bockhaven in
2014 (patched this week, after 14 months). Instead of using an invalid character to truncate
the comment, this time an excessively long comment is used for the same effect.

In these two cases, the injected JavaScript apparently can’t be triggered in the
administrative Dashboard so these exploits seem to require getting around comment
moderation e.g. by posting one harmless comment first.

The similar vulnerability released by Klikki in November 2014 could be exploited in the
administrative Dashboard while the comment is still in the moderation queue. Some
exploit attempts of this have been recently reported in the wild.

## Proof of Concept
Enter as a comment text:

<a title=’x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA…[64 kb]..AAA’></a>

Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.
Tested with MySQL versions 5.1.53 and 5.5.41.

Demo

© 2018 Sekedar Catatan

Theme by Anders NorenUp ↑