Cyber Security Enthusiast

TagAndroid

Merubah Kondisi Bilangan Hingga Manipulasi Jutaan Koin

M

Description Curhat dikit lah yaa… Cerita yang agak lucu dari saya sudut pandang bug hunter yang mana sebelumnya saya sudah pernah melaporkan celah keamanan pertama yaitu IDOR di salah satu aplikasi. Yah saya dapat reward dari temuan itu, dan dibalas email saya dengan sangat apresiasi dan responsif. Lalu beberapa minggu atau bulan kemudian saya lupa-lupa ingat, saya coba report kembali...

Merubah Nama Akun User Lain dan Status Melalui IDOR

M

Description Postingan ini memiliki sedikit kesamaan dengan post saya sebelumnya di halaman hanya saja pada pembahasan kali ini akan berbeda kasusnya dan saya bisa melakukan perubahan data pada akun target. IDOR merupakan kepanjangan dari Bug Insecure Direct Object Reference yang mana efek nya akan membuat kita dapat mengakses objek/data lain tanpa harus melakukan otorisasi tertentu (sumber)...

Kirim Jutaan SMS OTP Tanpa Pembatasan Limit

K

Description Jadi judulnya itu agak lebay gan, btw nama keren nya bug ini itu adalah No Rate Limit. Tapi pada kasus kali ini terjadi pada pengiriman sms otp yang tidak dibatasi sehingga akan menghabiskan resource sms gateway milik platform tersebut (kalau sifatnya tidak unlimited atau mungkin memiliki kuota). Affected Endpoint https://[redacted]/apg/api/v1/me/phone-token?on=register Steps to...

Manipulasi Harga Pemesanan Tiket Kamar Hotel Dengan Tampering

M

Description Menurut laman imperva itu begini gan: Parameter tampering is a simple attack targeting the application business logic. This attack takes advantage of the fact that many programmers rely on hidden or fixed fields (such as a hidden tag in a form or a parameter in a URL) as the only security measure for certain operations. Attackers can easily modify these parameters to bypass the...

Mengintip saldo customer lain melalui IDOR

M

Description IDOR merupakan kepanjangan dari Bug Insecure Direct Object Reference yang mana efek nya akan membuat kita dapat mengakses objek/data lain tanpa harus melakukan otorisasi tertentu (sumber). Berikut penjelasannya: Sebagai contoh disini misalnya kita sedang mengakses halaman edit profile milik kita sendri seperti www.contoh.com/edit.php?id_user=budi.Nah, apabila website tersebut...

Cyber Security Enthusiast