Dikasih Hadiah Dari Pak Tirto

hadiah dari tirto

Hadiah Dari Pak Tirto.id – Jumat sore saya bergegas menuju kemang, bukan mau dugem tapi main kerumah temen saya. Kebetulan dia kerja di Tirto Indonesia, Yap namanya Muhammad Akbar biasa di panggil Abay. Karna udah janjian sejak lama tapi dia kesal dengan saya gara gara gajadi dateng terus hari itu saya sempatkan untuk mampir dan main ke kost nya.

Sesampai di kostnya saya bertemu dengan 2 orang teman Defacer lainnya. Mereka adalah Faiz Azhar dan Galeh Rizky, setelah berkenalan tak lama pun saya membuka laptop dan mencari target untuk pentest. Saya menanyakan Abay untuk mereferensikan target untuk program bug bounty dan dia menyuruh saya mempentest website Tirto.

Full Path Disclosure

Sebelumnya diantara anda mungkin ada yang bertanya apasih bug Full Path Disclosure itu ? bug ini adalah suatu jenis vulnerabilities yang mengakibatkan user dapat melihat secara lengkap path suatu direktori atau file dari suatu situs/website.

Seperti biasa saya menggunakan tools bawaan browser Google Chrome yaitu Network, kegunaan tools ini adalah melihat Request dan Responses web yang ingin kita targetkan.

Tak lama saya menemukan request dari web tirto dan sepertinya itu adalah request API (Application Programming Interface), request tersebut menuju ke API di website Tirto.id saya coba menambahkan quote pada value di parameter page tetapi tidak terjadi apa apa. Tidak ada error yang menunjukan adanya bug, tak berhenti disitu saya mencoba menambahkan [] di sebelum (=) pada parameter limit dan menunjukan error ! gotcha !

FPD Tirto

Dan saya kembali menemukan bug Full Path Disclosure ini pada API yang lainnya di. Kenapa hal ini terjadi ? karna parameter tersebut mewajibkan memiliki value berisi numeric, sedangkan saya mengosongkan value dari parameter tersebut dan munculah error.

FPD Tirto

Clickjacking

Sehabis mencari bug pada website Tirto.ID saya mencari bug di partner web Tirto seperti biasa saya menggunakan Tools Network, dan saya mendapatkan request yang menuju subdomain Tirto. Saya mencoba melihat path url bernama iframe, awalnya saya kira ini adalah sebuah fiture tetapi saya mendengar pembicaraan mas Abay bahwa Tirto tidak boleh di iFrame dari luar.

Sebenarnya Clickjacking pada kali ini tidak ada Impact seperti yang mas Nosa temukan pada website Google yang berakibat Account Takeover, tetapi karna Tirto adalah website media tentunya sangat sangat sensitive apabila ada secuil kata yang di ubah dalam peng exploitan PoC Clickjacking ini.

Dan dari pihak Tirto pun memberi saya Reward untuk temuan Bug saya kali ini di website Tirto, sekian WriteUp yang tidak seberapa ini terima kasih sudah membaca Keep Weird and Stay Frontal !

Leave a Reply

Your email address will not be published. Required fields are marked *

Up Next:

Mirroring Android Ke Linux Tanpa USB

Mirroring Android Ke Linux Tanpa USB