Mukhammad Akbar

XSS Google Translate (Sandbox Domain) – Tulisan kali ini adalah tentang temuan XSS pada situs raksasa internet, Google. Kalau yang kalian cari adalah nominal yang diberikan Google terhadap temuan ini, mending ngga usah lanjut, udah cabut aja~ Sebenarnya 2 temuan ini tidak valid karena masuk pada Sandbox Domain Google. Namun, bagian menariknya adalah dimana dan bagaimana payload XSS nya tertrigger~ XSS Google Translate Perlu diketahui, Google mempunyai list domain yang tidak masuk pada scope yang dapat memperoleh bounty. Karena beberapa domain ini tidak bisa mengakses…Lanjutkan Membaca “XSS Google Translate (Sandbox Domain)” →

16 Juli 201916 Juli 2019

Ngehack Lalu Direkrut itu Nggak Segampang Kata Orang

Blog

Ngehack Lalu Direkrut itu Nggak Segampang Kata Orang – Tulisan ini sebenernya ngga penting kalo yang kalian cari adalah tutorial. Tulisan kali ini cuma pengalaman saat saya ditawari kontrak kerja setelah saya mengirim laporan tentang temuan bug yang saya temukan. Yang ternyata ga segampang omongan orang – orang. Kalau masih belum nyambung, baiknya kalian baca write-up temuan bug saya pada situs Tirto.id di Mendapat Hadiah dari Pak Tirto. Tirto.id, sebuah media online yang ternyata memberi apresiasi yang bisa terbilang besar jika dibanding dengan website Indonesia…Lanjutkan Membaca “Ngehack Lalu Direkrut itu Nggak Segampang Kata Orang” →

7 Juli 20197 Juli 2019

Mengapa Domain Penting untuk Bisnis?

Blog

Mengapa Domain Penting untuk Bisnis – Jujur saja, untuk post yang ini, memang saya gunakan untuk kompetisi yang diadakan Rumahweb. Jadi mungkin akan mengandung sedikit-banyak iklan, hehe. Kebetulan hosting situs yang saya pegang, Codelatte dan Abaykan (situs ini) menggunakan layanan hosting dari Rumahweb kurang lebih sudah 2 tahun, siapa tau jadi nilai plus dalam kompetisi😆 Mengapa Domain Penting untuk Bisnis? Saya sendiri sudah sedikit merasakan keuntungan memilih domain untuk personal branding. Apalagi mereka di luar sana yang mempunyai bisnis kelas atas, tentunya nama domain patut…Lanjutkan Membaca “Mengapa Domain Penting untuk Bisnis?” →

30 Maret 201930 Maret 2019

“Quick Hack” untuk Kebahagiaan

Blog

“Quick Hack” untuk Kebahagiaan? – Kita semua tentu menginginkan kebahagiaan. Namun, banyak dari kita yang tidak bahagia. Apakah kita sudah cukup berbahagia? Sebelumnya sudah saya jelaskan di halaman Disclaimer, bahwa “Situs ini adalah tempat menulis apa yang ingin saya tulis. Kesamaan atau kemiripan konten tentu bisa saja terjadi.“, jadi saya tetap berusaha ber-bodoamat ria dengan respon pembaca😝 Kita mengeluh sepanjang waktu. Kita bertengkar dengan anggota keluarga. Kita memainkan politik kantor yang kotor dengan rekan kerja. Kita berteriak dan mengumpat pada pengemudi lain di jalan. “Ngga,…Lanjutkan Membaca ““Quick Hack” untuk Kebahagiaan” →

13 Maret 201913 Maret 2019

OLX Bug Bounty: Reflected XSS

Write Up

OLX Bug Bounty: Reflected XSS – Siapa yang akan menyangka kalau bahkan ada bug yang bisa kita temukan di halaman 404 Not Found kan? Kali ini adalah write up saya saat menemukan Reflected XSS pada salah satu domain in scope oleh OLX, sharjah.dubizzle.com. Sebelum melanjutkan membaca, silahkan baca Disclaimer terlebih dahulu. Dengan membaca dan/atau mempraktekkan apa yang saya tulis, kamu dianggap bersedia dengan apa yang saya tulis disana 😀 XSS pada HTML Link Tag XSS dalam HTML Link Tag (<link>) dan hidden input (<input type=”hidden”>)…Lanjutkan Membaca “OLX Bug Bounty: Reflected XSS” →

6 Maret 20196 Maret 2019

READABLE HTACCESS TOKOPEDIA

Write Up

Karena ga terlalu ribet, jadi langsung aja ke poc nya aja gausah kepanjangan wkwk😂 Apa itu .htaccess? File .htaccess adalah file konfigurasi untuk digunakan pada server web yang menjalankan Apache Web Server. File .htaccess ini dapat digunakan untuk mengubah konfigurasi Apache Web Server untuk mengaktifkan / menonaktifkan fungsionalitas dan fitur tambahan yang ditawarkan Apache Web Server. File .htaccess menyediakan cara untuk melakukan perubahan konfigurasi berdasarkan direktori. Pada dasarnya, ini memungkinkan kita untuk mengambil arahan yang biasanya akan diletakkan di file konfigurasi utama Apache, dan menempatkannya…Lanjutkan Membaca “READABLE HTACCESS TOKOPEDIA” →

26 Februari 20191 Maret 2019

Mengejar Hall of Fame Codepolitan

Write Up

Mengejar Hall of Fame Codepolitan – Media edukasi dan informasi tentang pemrograman dan teknologi. Yap, Codepolitan. Dimana kita bisa mendapatkan informasi dan pengetahuan seputar pemrograman dan teknologi, juga dengan konten yang disusun sedemikian rupa dan dalam bahasa Indonesia agar mudah dipahami oleh para developer Indonesia. Stored XSS Stored Cross Site Scripting (XSS) adalah jenis yang paling berbahaya dari XSS. Aplikasi web yang memungkinkan inputan dari pengguna untuk disimpan dan menampilkan nya pada suatu halaman berpotensi terkena serangan jenis ini. –sumber. Mengejar Hall of Fame Codepolitan…Lanjutkan Membaca “Mengejar Hall of Fame Codepolitan” →

20 Februari 20198 Maret 2019

Mendapat Hadiah dari Pak Tirto

Vulnerability

Tirto Bug Bounty – Postingan ini adalah write up saya saat menemukan Multiple Vulnerability pada situs Tirto.id. Sebelum melanjutkan, silahkan baca Disclaimer terlebih dahulu. Jika kamu setuju dengan pernyataan disana, silahkan melanjutkan membaca 🙂 Apa itu Tirto.id? Tirto.id adalah sebuah situs berita, artikel dan infografik di Indonesia. Situs berita Tirto.id didirikan oleh Atmaji Sapto Anggoro yang sekaligus menjabat sebagai Pimpinan Redaksi dan CEO. Sajian tulisan Tirto.id meliputi rubrik Mild Report, Indepth, Hardnews, Current Issue, dan Tirto Visual Report (TVR). Tirto.id menerjemahkan visi mencerahkan itu sebagai…Lanjutkan Membaca “Mendapat Hadiah dari Pak Tirto” →

18 Februari 201918 Februari 2019

Nokia: Open Redirect to XSS

Write Up

Nokia Bug Bounty – Ini adalah write-up tentang bagaimana saya mengubah Open Redirect menjadi XSS pada subdomain situs Nokia. Open Redirects Saya menemukan sebuah report pada OPENBUGBOUNTY, dimana pada report tersebut yang dilaporkan adalah Open Redirect pada subdomain Nokia. Saat melihat parameter url, pemikiran instan saya adalah untuk menguji Open Redirect. Jadi saya memasukkan url https://abaykan.com sebagai nilai parameter dan ternyata benar mengarahkan saya ke abaykan.com Untuk info lebih lanjut tentang Open Redirect, silahkan membaca artikel saya di Open Redirect Vulnerability. Pada artikel tersebut saya…Lanjutkan Membaca “Nokia: Open Redirect to XSS” →

17 Februari 201917 Februari 2019

XSS in Markdown?

Vulnerability

XSS in Markdown – Berawal dari membaca report di Hackerone, saya berhasil menemukan banyak situs yang rentan terhadap XSS. Target saya adalah situs Online Markdown Editor. Untuk report Hackerone yang saya maksud, silahkan lihat di hackerone.com/reports/118024. Pada halaman report tersebut, saya perhatikan payload yang digunakan reporter adalah: [clickme](vbscript:alert(document.domain)) Oke saya jelaskan sedikit tentang Markdown. Sebelum melanjutkan lebih jauh, silahkan baca Disclaimer terlebih dahulu. Jika kamu menyetujui pernyataan saya disana, silahkan lanjut membaca 🙂 Apa itu Markdown? Markdown adalah (lightweight markup language) bahasa markup yang lebih ringan dari HTML untuk formatting teks. Markdown bisa…Lanjutkan Membaca “XSS in Markdown?” →

11 Februari 201911 Februari 2019

Mengejar Sertifikat Kominfo Sumatera Selatan

Write Up

Mengejar Sertifikat Kominfo Sumatera Selatan – Ini adalah write up saya tentang temuan bug SQL Injection pada subdomain situs Provinsi Sumatera Selatan. Karena dari awal saya memang menargetkan mendapat sertifikat dari Kominfo Provinsi Sumatera Selatan :p Sebelum melanjutkan write up nya, silahkan baca Disclaimer terlebih dahulu. Apabila setuju dengan pernyataan yang tercantum disana, silahkan lanjut membaca 🙂 Bug Bounty di Situs Pemerintah? Oke, sebelumnya saya jelaskan terlebih dahulu kalau developer dari situs target kali ini memang teman saya. Jadi ini murni sebagai langkah mengejar sertifikat…Lanjutkan Membaca “Mengejar Sertifikat Kominfo Sumatera Selatan” →

11 Februari 201911 Februari 2019

Bukalapak Bug Bounty: Reflected XSS

Write Up

Bukalapak Bug Bounty – Bukalapak merupakan salah satu pusat perbelanjaan daring (online marketplace) di Indonesia yang dimiliki dan dijalankan oleh PT. Bukalapak. – Wikipedia. Bug Bounty BukaLapak: BukaBounty Bukalapak mempunyai program Bug Bounty yang dinamai BukaBounty dimana rincian dari program tersebut bisa kita lihat di bukalapak.github.io/bukabounty. Sebagai wujud penghargaan Bukalapak terhadap partisipasi peserta bug bounty, Bukalapak akan memberikan imbalan untuk setiap laporan celah keamanan yang dapat diproses. Nilai imbalan bervariasi, tergantung pada tingkat risiko dari celah keamanan yang dilaporkan. Cakupan program bug bounty Bukalapak adalah semua konten…Lanjutkan Membaca “Bukalapak Bug Bounty: Reflected XSS” →

9 Februari 20199 Februari 2019

Belajar Memperkuat Komunikasi

Blog

Komunikasi – Dalam beberapa kasus, kita tentu pernah mengalami saat kita bingung cara berkomunikasi dengan seseorang. Entah itu rekan kerja, teman ngopi atau siapapun itu. Pernah? Biasanya ini terjadi ketika kita baru memulai di tempat yang baru atau masih asing untuk kita. Saya memiliki beberapa trik tersendiri untuk menguatkan komunikasi diantara saya dan orang lain, terutama pada suatu tempat kerja. Mungkin trik ini bisa kalian terapkan pada orang – orang disekitar 😀 Tetap Ikuti Alur Dari waktu ke waktu saya harus mengikuti briefing yang membahas…Lanjutkan Membaca “Belajar Memperkuat Komunikasi” →

6 Februari 20196 Februari 2019

Bug Bounty Tokopedia : Reflected XSS Careers Page

Write Up

Bug Bounty Tokopedia – Tokopedia merupakan perusahaan teknologi Indonesia dengan misi mencapai pemerataan ekonomi secara digital. Sejak didirikan pada tahun 2009, Tokopedia telah bertransformasi menjadi sebuah unicorn yang berpengaruh tidak hanya di Indonesia tetapi juga di Asia Tenggara. – Wikipedia. Berawal karena bosan, beberapa hari yang lalu saya menemukan bug pada situs Tokopedia. Tepatnya Reflected XSS pada halaman karir Tokopedia (https://www.tokopedia.com/careers/). Baca juga: Membuat XSS Cookie Stealer. Bug Bounty Tokopedia: Reflected XSS Tokopedia Setelah lumayan lama berkutat pada domain utama tokopedia.com , saya mulai frustasi karena tidak mendapatkan apapun. Saya…Lanjutkan Membaca “Bug Bounty Tokopedia : Reflected XSS Careers Page” →

4 Februari 20194 Februari 2019

I Just Sat Here for Longer Than You

Blog

I’m Not Smart, I Just Sat There for Longer Than You

I’m Not Smart, I Just Sat Here for Longer Than You – Jika kamu sedang berjuang dengan pengkodean, atau hanya belajar sesuatu yang sulit, posting ini mungkin memberi kamu semacam harapan aneh. Saya pernah membuat sesuatu entah itu program berguna maupun sampah dalam beberapa bahasa pemrograman. Saya juga sudah mempelajari beberapa ilmu komputer, jadi mengapa ketika orang-orang memberi tahu saya bahwa saya adalah developer yang hebat, apakah saya merasa mereka salah? Saya biasanya akan merespons dengan sesuatu seperti: “I’m not great, I’ve just been sat…Lanjutkan Membaca “I Just Sat Here for Longer Than You” →

10 Januari 20198 Februari 2019

Membuat XSS Cookie Stealer

Tricks

Membuat XSS Cookie Stealer – JavaScript adalah salah satu bahasa yang paling umum digunakan di web. Dapat juga menganimasikan komponen situs web, mengelola konten situs web, dan menjalankan banyak fungsi bermanfaat lainnya dari dalam halaman web. Javascript memiliki banyak fungsi yang dapat digunakan untuk tujuan jahat, termasuk mencuri cookie pengguna dan informasi lainnya. Cookie adalah informasi yang diminta atau dipertahankan oleh situs web mengenai pengguna tertentu yang mengunjungi halaman tersebut. Cookie berisi informasi tentang bagaimana dan kapan mereka mengunjungi, serta informasi otentikasi untuk situs seperti…Lanjutkan Membaca “Membuat XSS Cookie Stealer” →

4 Oktober 201818 Januari 2019

Upload Shell Menggunakan SQLMap

Tricks

Upload Shell Menggunakan SQLMap – SQLMap adalah adalah tools opensource yang mendeteksi dan melakukan exploit pada bug SQL injection secara otomatis. Dengan melakukan serangan SQL injection, seorang attacker dapat mengambil alih serta memanipulasi sebuah database di dalam sebuah server. Sangat sering kita menggunakan sqlmap untuk melakukan injeksi sql untuk mendapatkan database server web. Command yang akan kita gunakan adalah –os-shell, disini SQLMap akan meningkatkan privileges dan akan memberi kita shell interaktif. Baca juga: Cara Membuat List Password Menggunakan CUPP. Di artikel kali ini saya akan menunjukkan…Lanjutkan Membaca “Upload Shell Menggunakan SQLMap” →

3 Oktober 201818 Januari 2019

Membuat List Password

Tricks

Membuat List Password Menggunakan CUPP – Manusia, seberapa unik pun mereka berpikir, seringkali menggunakan pola yang sama ketika membahas password. Biasanya kita memilih password yang mudah diingat, jadi kita bawa barang pribadi ke password kita. Misalnya, seseorang bisa dengan mudah mengingat kata sandi yang berisi hari ulang tahunnya dan nama istrinya. Membuat List Password Apa yang akan kita gunakan dari list password tersebut? Banyak! Seperti melakukan bruteforce pada suatu halaman login. Kata sandi yang lemah mungkin memang sangat pendek atau hanya menggunakan karakter alfanumerik. Sandi yang…Lanjutkan Membaca “Membuat List Password” →

22 Februari 201811 Maret 2019

Zona Nyaman: Keluar atau Tetap di Dalamnya?

Blog

Acungkan jari jika kamu bosan atau bahkan risih mendengar bahwa kehidupan dimulai “Ketika kita keluar dari zona nyaman“. Saya tahu rasanya. Mustahil untuk lepas dari teman atau bahkan influencer di media sosial yang mengatakan bahwa memilih ‘bermain aman’ adalah sabotase diri. “Zona nyaman adalah tempat yang indah, tetapi tidak ada yang tumbuh di sana” atau postingan-postingan grafik sejenis yang populer di Instagram. Dan kutipan Eleanor Roosevelt yang paling banyak digembar-gemborkan, “Lakukan satu hal setiap hari yang membuatmu takut“, menghiasi segalanya mulai dari mug kopi kantor…Lanjutkan Membaca “Zona Nyaman: Keluar atau Tetap di Dalamnya?” →