Vulnerability Xss Cookies Stealing & Validation User Codepolitan.com
Hello Selamat Datang Di News Hacker yang menceritakan berita tentang seputar peretasan yang ada di indonesia dan para pentester indonesia serta tools2 yang disajikan oleh anak bangsa indonesia. kita sebagai warga negara indonesia tidak akan mau kalah canggih oleh orang luar.
untuk lebih jelas anda bisa langsung cek disini
kali ini saya akan menshare Vulnerability Cookies Stealing & Validation User pada salah satu website coding di indonesia yaitu codepolitan.com. - Code politan ini sebelumnya menyediakan bug bounty berupa apresiasi untuk para pentester yang telah menemukan suatu bug di website official code politan.
tapi sayangnya program bug bounty tersebut di tutup dan hanya nama saja yang akan di tempat pada widget codepolitan.com, tapi jangan khawatir kita sebagai pentester harus iklas menjalankannya demi keamanan cyber di indonesia untuk indonesia lebih maju.
baru dua hari yang lalu ada seseorang yang telah menemukan bug website code politan yang menyebabkan dampak yang fatal.
berikut hasil write up atas nama mas tenwap salah satu founder anon cyber team.
Jadi sekitar bulan maret saya mencoba untuk memasukan sebuah payload xss hunter pada halaman event di codepolitan , semua bermula di saat saya iseng mencoba memancing saja pada page tersebut . ~ujar mas tenwap
Kurang lebih saya menunggu hampir 1 sampai 2 minggu tidak ada notifikasi trigger yang masuk ke xss hunter saya , disana saya mulai pupus harapan hehe. Pada tanggal 5 april saya mendapat sebuah notifkasi melalui email , dan ternyata umpan saya berhasil di makan oleh admin codepolitan . ~ujar mas tenwap
Tidak sampai disitu , saya yang masih penasaran dalam kegelapan malam mencoba untuk membuka URL https://www.codepolitan.com/admin/post/post/index/all/eventdan ternyata di luar dugaan teman teman , sang developer tidak memfilter user secara baik , saya yang login sebagai user biasa bisa mengakses halaman admin tersebut tanpa system validasiPada dasaranya untuk membuat sebuah website kita harus paham apa itu RBAC ( Role Base Access Control ) dimana setiap user memiliki akses masing masing , simpel codingnya seperti ini
untuk lebih jelas anda bisa langsung cek disini
Timeline Bug Report
Report bug ke developer codepolitan : Sabtu 6 April 2019 05:43Developer merespon email : Sabtu 6 April 2019 06:29Developer melakukan patch : Sabtu 6 April 2019 06:59Bug dinyatakan valid dan nama saya dicantumkan pada credit codepolitan : Sabtu 6 April 2019 07:30
0 Response to "Vulnerability Xss Cookies Stealing & Validation User Codepolitan.com "
Post a Comment