XSS in Markdown?

XSS in Markdown – Berawal dari membaca report di Hackerone, saya berhasil menemukan banyak situs yang rentan terhadap XSS. Target saya adalah situs Online Markdown Editor. Untuk report Hackerone yang saya maksud, silahkan lihat di hackerone.com/reports/118024. Pada halaman report tersebut, saya perhatikan payload yang digunakan reporter adalah: [clickme](vbscript:alert(document.domain)) Oke saya jelaskan sedikit tentang Markdown. Sebelum […]

Command Injection

Command Injection adalah kerentanan format string yang terjadi ketika input pengguna yang tidak difilter lalu diteruskan ke shell sistem (system(), exec(), dll). Seorang penyerang dapat mengeksploitasi kerentanan ini dengan urutan perintah yang ditambahkan ke format yang sesuai untuk mengeksekusi perintah shell. Penyerang yang mengeksploitasi kerentanan ini mungkin juga memiliki remote-shell. Command Injection atau RCE? Sebelum […]

Cross Site Scripting: Dasar – Dasar XSS

Cross Site Scripting (XSS) pada dasarnya menyuntikkan skrip atau HTML ke halaman web, seberapa burukkah akibatnya? Jika kita melihat XSS sebagai bug yang tidak berbahaya, sepertinya harus dipikir ulang. Jika Google saja membayar hingga $3,133.7 untuk satu bug XSS, itu berarti itu sangat buruk, kan? Serangan XSS dilakukan di sisi klien. Ini dapat dilakukan dengan […]

Local File Inclusion

Local File Inclusion berarti akses tidak sah ke file yang ada di sistem. Kerentanan ini memungkinkan penyerang mendapatkan akses ke file sensitif di server, dan itu mungkin juga menyebabkan mendapatkan shell. Cara Kerja Local File Inclusion LFI berasal dari input pengguna yang tidak bersih. LFI sangat umum di situs web yang menjalankan php. Berikut adalah […]