loading...
Menu

Kamis, 27 Februari 2020

Kenalan Sama Tab Nabbing

Hallo Semuanya Kembali Lagi Di alpinshit13. Kali ini kita akan membahas tentang bug lagi, Artikel kali ini akan membahas apa itu tab nabbing.

Tab Nabbing adalah teknik serangan eksploit sejenis phishing, yang membujuk pengguna untuk mengirimkan detail login dan kata sandi mereka ke situs web asli dengan menyamar sebagai situs dan meyakinkan pengguna bahwa situs tersebut asli. 

Piye Om Carane (PoC)
 Saya mencoba melakukan tabnabbing ini pada blogger, yaitu di blog ini.

Saya menggunakan https://alpinshit.github.io/justtabnabbing/index.html

1.saya membuat sebuah halaman pada blog ini
2.saya isi dengan link diatas seperti https://www.alpinshit13.space/p/tab-nabbing.html
3.dan saya share di media sosial saya
apa yang terjadi??
yang terjadi adalah ketika seseorang mengklik link yang saya  posting di halaman tersebut akan otomatis memuat link malicious yang saya tanam di website  https://alpinshit.github.io/justtabnabbing/index.html

Kurang Paham??
Refrensi:nakanosec.com

Terimakasih Dan Mohon Maaf Bila Kata Kata Kurang Enak Di Pahami.

Senin, 17 Februari 2020

Kenalan Sama Email Spoofing

Hallo semuanya di kesempatan kali ini saya akn berbagi cerita tentang EMAIL SPOOFING. Bagaimana cara melakukan nya dan bagaimana cara menghindari nya akan saya ulas pada artikel kali ini, Jadi tolong simak dengan baik ya sobat digital.

Apa Itu Email Spoofing?
 Email Spoofing adalah pemalsuan pada bagian header email, sehingga email yang dikirim seolah-olah dikirimkan dari email yang valid. e-mail spoofing umumnya digunakan untuk aktivitas spamming, phishing atau fraud. Contoh email spoof biasanya dikirimkan dengan menyamarkan alamat email sebenarnya dengan alamat email instansi tertentu.

Berbahaya kah Email Spoofing itu??
 Jawaban nya IYA. Karena email spoofing biasanya di gunakan oleh seorang attacker untuk menyamar menjadi costumer perusahaan/orang tertentu untuk mendapatkan apa yang attacker mau. Seperti bisa menjadi costumer service yang meminta USERNAME/PASSWORD dari akun website costumer service tersebut.

Bagaimana Cara Menghindari Email Spoofing??
 Cara menghindari Email Spoofing itu cukup gampang.

  1. Jangan percaya pada email yang tidak ada foto profil nya
  2. Jangan mudah percaya pada email yang ada di spam
  3. Jangan mengakses link mencurigakan dari email tak dikenal
 Bagaimana Cara Menutup Bug Email Spoofing??
 Menutup bug email spoofing itu cukup mudah. Karena kita tinggal menggunakan SPF sender policy framework.
https://www.vavai.com/menangkal-spoofing-phising-spam-menggunakan-spf-sender-policy-framework/

Bagaimana Cara Melakukan Email Spoofing??
 Cara melakukan email spoofing itu bisa di bilang cukup gampang karena kita hanya memerlukan sender email untuk melakukan Email Spoofing.
 Berikut Lebih Lanjut:
2.Isi Semua Kolom
3.Kirim Kan
4.Check Email Kita
Dan selesai sudah. Sekian artikel kali ini dan semoga bermanfaat.
Jangan gunakan ini untuk tindakan kriminal apapun itu!!

Jumat, 07 Februari 2020

Kenalan Sama DoS (Denial Of Service) Attack

Kenalan Sama DoS (Denial Of Service) Attack
Begitu banyak nya motif penyerangan di era digital ini memang tidak bisa di hindari lagi, Dari penyerangan Personal,Website ataupun Server. Kali ini kita akan membahas tentang penyerangan Website atau Server yang sudah sangat Terkenal yaitu DoS (denial of service).

DoS (Denial Of Service) adalah penyerangan dengan motif menghabiskan sumber dari suatu website ataupun server yang di target kan. Dengan begitu bisa menyebabkan suatu website ataupun server itu tidak bisa berjalan sesuai perintah sehinggah mencegah user mendapatkan akses dari website ataupun server tersebut.

Cara menghindari serangan DoS ?
  1. Melakukan Identifikasi Serangan, serangan akan terlihat tanda-tandanya jika mengecek server. Apabila sudah diketahui, alangkah baiknya mempersiapkan penangannya sebelum terjadi serangan yang lebih serius. Seperti kasus berikut:
    • Syn Flooding, gunakan firewal untuk tidak meneruskan paket data yang tidak diketahui dengan jelas asalnya.
    • Remote Controled Attack, block alamat IP dan portnya.
    • UDP Flooding, Menolak paket trafik yang datang dari luar jaringan dan mematikan semua layanan UDP.
    • Smurf Attack, disable broadcast address pada router atau filtering permintaan ICMP echo request pada firewall atau juga membatasi trafik ICMP.
  2. Mempertahankan Parameter Network, salah satunya dengan memperbesar bandwith. Cara ini hanya memberikan waktu supaya sistem tidak down, tetapi cara ini kurang ampuh terhada serangan yang besar.
  3. Menghubungi Hosting Provider atau ISP, mereka dapat melacak serangan yang terjadi melalui alamat ip di sistem.
  4. Menghubungi Spesialis DDoS, jika cara diatas tidak berhasil. Bisa dengan menghubungi spesialis yang akan membantu untuk menangani serangan yang terjadi.

Selasa, 04 Februari 2020

DriveBatch Reflected XSS

Hallo Semuanya Kali ini Saya Akan Bercerita Tentang XSS yang Saya Temukan Saat Saya Mau Download Anime Di salah Satu Website Tempat Download Anime. Jika Masih Ada Yang Bingung Apasih Oitu XSS Bisa Lihat Di Artikel Sebelumnya Yang Akan Saya Taruh Di Akhir kisah Ini.

Saat Saya Sedang Mencari Anime Di Salah Satu Website Saya Tertarik Dengan Safelink Download Yang Di Buat Nya Dan Saya Hanya Iseng Mencoba Melakukan XSS Pada Form Upload Dan Ternyata Bisa Di Eksploitasi Dengan XSS.

Saat itu Saya Mencoba Upload File bernama untittled.txt Dan Saya Langsung Masuk Ke File Manager untuk Mengganti Nama Nya Dan Ternyata Bisa Di Ganti Dengan Payloads XSS.
Payloads:<script>alert(1)</script>
Dan Saat Itu Saya Juga Mencoba HTML Injection.

Proof Of Concept
1.Login di drivebatch,net
2.masuk Upload File
3.Upload File Apapun Dengan GD
4.Masuk Ke My Files
5.centang file yang ingin kalian Rename
6.masukan payloads xss  pada saat rename

dan Boom Terjadi lah XSS

Ok sekian Cerita kali ini.

Senin, 03 Februari 2020

Assassin creed unity rp28!!!!

Assassin creed unity rp28!!!!
Hallo semuanya ada kabar baik dari steam untuk kalian. Kini assassin creed unity bisa kalian beli dengan harga yang sangts terjangkau.

Assassin creed unity ini di bandrol dengan harga yang sangat murah untuk penggemar assassin creed pasti akan membeli ini karena game ini seharga rp28

Saya juga tidak menyangka bahwa ada game semurag itu di steam. Jadi saya langsung membeli nya saja.

Dari mana info ini?? Saat saya sedang scrolling di Facebook saya melihat update an dari gamebrott dan saya langsung tertarik dan membeli nya.

Sumber:https://www.google.com/amp/s/gamebrott.com/sikat-sekarang-assassins-creed-unity-hanya-seharga-28-rupiah/amp

WordPress Users Disclosure Vulnerability


Hallo Semuanya Selamat Datang Kembali. Kali Ini Saya Akan Menceritakan Pengalam Saya Yang Baru Aja Tadi Habis Baca-baca Di HackerOne, Ini Adalah Bug Dari Website CMS Wordpress.

WordPress Users Disclosure adalah Bug Yang Bisa Memunculkan Data Dari Users Website Target. Tapi bug ini Tidak Bisa Menampilkan  Password Sayanganya Dan Hanya Bisa Menampilkan Informasi Dasar Seperti Nama Dan Lain Lain.

Cara Eksekusi Nya Dengan Cara Menambahkan payload pada website.
Payloads:/wp-json/wp/v2/users/
Example:site.com/wp-json/wp/v2/users/

VULN??? Seperti Thumbnail Diatas

Impact Dari bug ini adalah Kita Bisa Membuat Skenario BruteForce Password Dan Tentunya Kita Memerlukan Wordlist untuk Melakukan itu. Dari pada Di Hack Mending Di Report Kali Aja Bounty

Sekian Aja Ya Artikel Ga Jelas Ini. Kok Berantakan?? Lagi Males Nulis Artikel :v
Refrensi:https://hackerone.com/reports/356047

Sindoweekly Multiple Vulnerability

Hasil gambar untuk sindoweekly"
Hallo Semuanya Sekarang Saya Akan Membagikan Cerita Tentang Saya Menemukan Bug XSS(cross site scripting) Di Website sindoweekly.com

Kemarin Saya Sedang Mengungjungi Website Sindonews Untuk Melihat Berita-Berita Terbaru dan Saya Mulai Tertarik untuk Melakukan Penetration Testing Terhadap Website Sindonews Tapi Hasil nya Nihil. Dan Saya Menemukan Website sindoweekly.com

Saya Mencoba Menggunak Kolom Search Untuk Melakukan Penetration Testing Dengan Cara HTML INJECTION Dan Ternyata Benar disana Terdapat Bug HTML IN JECTION

http://sindoweekly.com/contents?search=<img src=http://sindoweekly.com/assets/frontend/statics/images/apps/logo_sindoweekly.png>

hasil:

Bukan Hanya Bug HTML INJECTION aja Yang Terdapat Pada Website ini Di Website Ini Juga Terdapat Bug Cross Site Scripting.

http://sindoweekly.com/contents?search=</script><svg onload=alert(1)>
Hasil:

Di Samping Itu Masih Adalagi Bug Nya Disini :v. Banyak Banget Yak :v
Bug Terakhir Ini Adalah Bug Yang Cukup Fatal Jadi Mungkin Ga Bakal Saya Share Tapi Kalian Bisa Cari Sendiri :D

cukup Sampai Sini Saja Dongeng Nya Ya :v
Dadah.