IT Security Enthusiast • Bug Hunter • Penetration Tester

Latest stories

Enumerasi dan Enumerasi Hingga Mendapat Akses Dashboard CRM

E

Description Ada cerita unik saat saya mencoba mencari kredensial untuk login ke platform dasboard CRM di website target, jadi rasanya mau dibuang sayang 🙁 yasudah saya tulis saja semoga ada yang termotivasi h3h3. Affected Endpoint .[redacted].com/login Steps to Reproduce Enumerasi domain untuk mendapatkan subdomain. Enumerasi subdomain Tampilan halaman target. Halaman login subdomain target Salah...

Merubah Kondisi Bilangan Hingga Manipulasi Jutaan Koin

M

Description Curhat dikit lah yaa… Cerita yang agak lucu dari saya sudut pandang bug hunter yang mana sebelumnya saya sudah pernah melaporkan celah keamanan pertama yaitu IDOR di salah satu aplikasi. Yah saya dapat reward dari temuan itu, dan dibalas email saya dengan sangat apresiasi dan responsif. Lalu beberapa minggu atau bulan kemudian saya lupa-lupa ingat, saya coba report kembali...

Hack The Box Walkthrough – Tabby

H

Descriptions Operating System : LinuxIP Address : 10.10.10.194 Just info, saya menggunakan sistem operasi windows pada sistem utama, dengan bantuan sistem operasi virtual kali linux untuk mendukung berbagai tools yang akan digunakan dalam eksploitasi mesin virtual ini. Enumeration Active Port Pada salah satu port yaitu 8080 (Apache Tomcat) sepertinya legit untuk di telusuri lebih lanjut (oke...

Write-up TJCTF – File Viewer

W

Description TJCTF adalah platform ctf internasional bertipe Jeopardy yang beralamat di tjctf.org, dengan waktu pengerjaan 4 hari pada tanggal 09 May 2020, 00:01 UTC hingga 10 May 2020, 23:59 UTC. Nah menurut yang ditulis CTFtime.org itu begini: TJCTF is a Capture the Flag (CTF) competition hosted by TJHSST’s Computer Security Club. It is an online, jeopardy-style competition targeted at...

Write-up Sharky CTF – Erwin’s File Manager

W

Description SharkyCTF adalah platform ctf internasional bertipe Jeopardy yang beralamat di ctfd.sharkyctf.xyz, dengan waktu pengerjaan 2 hari pada tanggal 09 May 2020, 00:01 UTC hingga 10 May 2020, 23:59 UTC. Nah menurut yang ditulis CTFtime.org itu begini: SharkyCTF is a 2 days CTF featuring low medium to medium difficulty Pentest / Web / Forensics / Steganography / Crypto / Pwn / Reverse...

Merubah Nama Akun User Lain dan Status Melalui IDOR

M

Description Postingan ini memiliki sedikit kesamaan dengan post saya sebelumnya di halaman hanya saja pada pembahasan kali ini akan berbeda kasusnya dan saya bisa melakukan perubahan data pada akun target. IDOR merupakan kepanjangan dari Bug Insecure Direct Object Reference yang mana efek nya akan membuat kita dapat mengakses objek/data lain tanpa harus melakukan otorisasi tertentu (sumber)...

Kirim Jutaan SMS OTP Tanpa Pembatasan Limit

K

Description Jadi judulnya itu agak lebay gan, btw nama keren nya bug ini itu adalah No Rate Limit. Tapi pada kasus kali ini terjadi pada pengiriman sms otp yang tidak dibatasi sehingga akan menghabiskan resource sms gateway milik platform tersebut (kalau sifatnya tidak unlimited atau mungkin memiliki kuota). Affected Endpoint https://[redacted]/apg/api/v1/me/phone-token?on=register Steps to...

Manipulasi Harga Pemesanan Tiket Kamar Hotel Dengan Tampering

M

Description Menurut laman imperva itu begini gan: Parameter tampering is a simple attack targeting the application business logic. This attack takes advantage of the fact that many programmers rely on hidden or fixed fields (such as a hidden tag in a form or a parameter in a URL) as the only security measure for certain operations. Attackers can easily modify these parameters to bypass the...

SQL Injection hingga mencuri data KTP

S

Description Mudah nya memahami SQL Injection itu begini, seperti yang saya kutip dari web dibawah ini (gue lagi malas berargumen :v). SQL Injection adalah teknik yang menyalahgunakan celah keamanan yang ada pada lapisan database sebuah aplikasi. Celah ini terjadi ketika input dari pengguna tidak disaring (filter) secara benar, contohnya adalah kolom username yang seharusnya hanya diisi dengan...

Mengintip saldo customer lain melalui IDOR

M

Description IDOR merupakan kepanjangan dari Bug Insecure Direct Object Reference yang mana efek nya akan membuat kita dapat mengakses objek/data lain tanpa harus melakukan otorisasi tertentu (sumber). Berikut penjelasannya: Sebagai contoh disini misalnya kita sedang mengakses halaman edit profile milik kita sendri seperti www.contoh.com/edit.php?id_user=budi.Nah, apabila website tersebut...

IT Security Enthusiast • Bug Hunter • Penetration Tester