Security Research And programmer

How i found bug XSS (Cross-site-scripting) in website xiaomi hai, kali ini saya bakalan share bug XSS di salah satu website xiaomi yaitu di mi.com sedikit tentang website mi.com : global.mi.com adalah salah satu website xiaomi store dan informasi tentang produk xiaomi bisa kita lihat di website tersebut seperti spesifikasi dan harga asli xiaomi, ga banyak juga yang saya tau namun lebih lengkap nya bisa anda lihat di global.mi.com PoC : script xss :  '">><marquee><img src=x onerror=confirm (document.cookie)></ marquee> url vuln : https://global.mi.com/en/user/address 1. buat address baru kemudian isi kota dengan script xss di atas 2. klik save 3. xss posed Hall Of Fame Overall : 208 https://sec.xiaomi.com/fame?year=2017&month=10 Timeline : • 31 oktober 2017 : Poc Send via sec.xiaomi.com • 1 november 2017 : Under View • 2 november 2017 : bug fixed • 2 november 2017 : hall of fame sec.xiaomi.com  https:/

How I Found bug IDOR and Bypass Token in fitur Notification bukalapak.com and traveloka.com hay, terima kasih telah Mampir di postingan saya, kali ini saya akan share bug IDOR di website bukalapak.com dan Traveloka.com , dampak dari bug ini saya dapat mematikan pemberitahuan yang Masuk Ke email akun Bukalapak seperti fitur : Newsletter (bukalapak dan traveloka)  Informasi seputar promo, tips, acara, dan info-info menarik dari Bukalapak. Notifikasi Pembeli (Bukalapak)  Notifikasi terkait pembayaran, status transaksi, dan pengiriman barang. BukaDompet (bukalapak)  Notifikasi terkait penambahan dan pencairan saldo BukaDompet Komplain Barang (bukalapak)  Notifikasi terkait komplain barang baru, petunjuk diskusi, dan status komplain. Pengaturan Akun (bukalapak)  Notifikasi terkait perubahan alamat e-mail, nomor telepon, alamat, password, dan nomor rekening. Keamanan dan Pelanggaran (bukalapak)  Notifikasi email terkait panduan keamanan, pemberi

bug Bukalapak.com | Bug Able To Send Message Using CSRF And Bypass Filter Send Message ( 350 text )  Kali Ini Saya menemukan 2 Bug Di Fitur Kirim Pesan Bukalapak, Bug Ini memungkinkan Saya Untuk Mengirim Pesan Lebih dari 350 karakter text Yang Di Batasi Bukalapak, Bug Ini Terjadi Karena Tidak ada nya Filter Di BackEnd Atau Siapa Saja Yang request Melalui API Bukalapak Atau  Ke Server Langsung Tidak Akan Terkena Filter, Namun Sayang nya Bug Ini di anggap Invalid Bug Mungkin Karena Less impact atau Cuman berpengaruh Kepada Saya sendiri, namun Saya Akan Share PoC nya Untuk Pembelajaran Di Sini PoC : Script CSRF : <div class='message-chat-form' id='message_chat_form'> <form class="js-td__message-submit" novalidate="novalidate" id="new_messages_message" action="/messages" accept-charset="UTF-8" method="post"><input name="utf8" type="hidden" value="&#x2713;&

Bug blibli.com | Bug XSS (CROSS-SITE-SCRIPTING)  selamat Malam, setelah menunggu sekian lama akhirnya bug ini telah di fix oleh team IT Blibli.com,  Blibli.com adalah Web e-commerce Indonesia yang lumayan banyak di kunjungi oleh para pembeli barang lewat Online, namun saat Bug ini dilaporkan pertama kali blibli belum Mengadakan Program Bug bounty, POC : 1. Login ke Akun blibli anda atau tidak pun tidak apa-apa 2. Langsung ke https://livechat.blibli.com/chatserver/chatwindowmobile.aspx?planId=867&siteid=1000185 3. Isi nama anda dengan script XSS : </ script>"><script >alert(document.  Domain);</ script> (Hapus semua jarak yang ada di script XSS) 4. Isi form yang lainnya klik mulai chat 5. Setelah kita diarahkan di sesi chat klik akhiri sesi / klik tanpa X bila lewat Handphone 6. Setelah berakhir kembali lagi ke https://livechat.blibli.com/chatserver/chatwindowmobile.aspx?planId=867&siteid=1000185 Timeline : • 10 - 07 - 2017 : Report Sen

BUG BUKALAPAK.COM | ABLE TO SEND MESSAGE AFTER LOGOUT Hay,  Kali ini saya akan share bug Able to send message after logout di Bukalapak.com, berhubung Cuaca Tidak Bagus Saya tidak banyak basa basi Poc : 1. Buka 2 Tab setelah Login Di Bukalapak.com 2. Tab 1 Cari seller dan Kirim pesan test 3. Tab ke 2 klik logout dan tab ke 1 Kirim pesan setelah tab ke 2 logout biasa nya Box pesan muncul di sebelah kiri bawah 4. Reload Tab ke 1 Dan login kembali kemudian cek pesan terkirim Sayang nya Bug ini juga dinyatakan Invalid dengan alasan yang tidak saya mengerti Timeline : • 01 - 09 - 2017 - Report Send • 01 - 09 - 2017 - Poc Send • 01 - 09 - 2017 - Respon IT bukalapak • 01 - 09 - 2017 - Bug Invalid

BUG BUKALAPAK.COM |ABLE TO DELETE FRIEND AFTER LOGOUT Hay Seperti biasa Setelah Saya Menemukan Bug dan Bug Tersebut Di Fix saya Share PoC nya di blog Ini, sebenernya Saya Ga Tertarik Untuk Menulis Blog namun Saya pikir Ini perlu karna mungkin Buat bahan Pembelajaran, oke langsung aja Url Vuln :  https://m.bukalapak.com/ teman?from=user_panel Poc : 1, buka 2 Tab terus login di  bukalapak.com 2, tab 1 Buka  https://m.bukalapak.com/ teman?from=user_panel  dan tab 2 klik logout 3, tab 1 Klik hapus Teman setelah tab ke 2 Logout 4, dan setelah teman di hapus Login kembali di tab ke 2 dan liat di  https://m.bukalapak.com/ teman?from=user_panel  teman terhapus Sayang nya bug Ini tidak ada Hadiah entah kenapa bug ini dinyatakan Invalid Namun Setelah beberapa Bulan Bug Ini di fix oleh tim IT bukalapak namun Kita Positif thinking aja :D Timeline : • 01 - 09 - 2017 - Bug Report • 02 - 09 - 2017 - POC Send • 03 - 09 - 2017 - Respon IT Bukalapak • 03 - 09 - 2017

Hay guys -_- tetap Bersama saya IG : Anggi_gunawan17 Follow Ye, Kali ini Saya mau Posting Tentang Bug Open Redirect Di Website tokopedia.com Ok Langsung Aja POC : URL VULN :  http://trk.newsletter. tokopedia.com/em_ W0hIAVrrPwAUZZYd8hfU/? redirect_uri= https://google.com 1. ganti google.com dengan url phising or target 2. tinggal paste aja di address bar langsung enter • 29 juli 2017 : Bug report • 29 juli 2017 : respon from IT tokopedia • 30 juli 2017 : new bug report  • 31 juli 2017 : bug confirm and valid • 14 agustus 2017 : 2 bug fixed and ask name for sertifikat • 15 agustus 2017 : sertifikat send Ps : Saya seorang anak muda yang menekuni security research atau ethical hacking dan saya sedang mencari pekerjaan Remote atau di Indonesia, saya memiliki beberapa sertifikat dari hasil pentest ke berbagai perusahaan dan HOF (hall of fame) di perusahaan Microsoft. Anda bisa menghubungi saya lewat  Email

Blibli.com | Bug Cross-Site-Scripting In Website Blibi.com Hay guys -_- tetap Bersama saya IG : Anggi_gunawan17 Follow Ye, Kali ini Saya mau Posting Tentang Bug XSS Di Website Blibli.com Ok Langsung Aja POC : 1. Login Ke Account Blibli Kalian 2. Langsung ke Https://blibli.com/member/wishlist 3. Tambahin wishlist dengan script xss </ script>"><img src=x onerror= prompt('XSS'); > 4. Dan Boom Xss posed Next saya Upload Vidio + foto Nya sekarang lagi ga ada Quota :'v Kwkaka • 27 - 06 - 2017 : Bug Report • 29 - 06 - 2017 : Bug Confirm And Proses Fixed • 09 - 07 - 2017 : Bug Fixed • 10 - 07 - 2017 : Me Ask For A Bounty Reward • 11 - 07 - 2017 : Send Me Bounty 400.000 IDR via Voucher • 11 - 07 - 2017 : Me Send A Vuln New XSS • 11 - 07 - 2017 : IT Blibli Confirm And Proses Fixed (Next Post For Poc)

Spaste.com | Bug Open Redirect With Cross-Site-Scripting Hello Guys :v Kembali lagi Bersama Saya IG : Https://instagram.com/Anggi_gunawan Promos I :'v Kali In I Say a Bakalan Share POC Open Redirect With Cross-Site-Scripting Penjelasan Singkat :  jadi Saya memanfaatkan Bug Open Redirect Menjadi Xss yaitu merubah Destination URL Yang awal nya Url Situs menjadi JavaScript:alert(1); Contoh : Https://evil.site/redirect.php?url=JavaScript:alert(1) Nah Kurang Lebih Nya Kaya gtu, Dan sekarang bug InI Saya temuin di website  Https://spaste.com Url Vuln : https://spaste.com/redirect.php?url= • 08 - 08 - 2017 : Bug Report Via Openbugbounty.Org • 08 - 08 - 2017 : Owner / director Website send Inbox Via Email Ask Detile Bugs • 08 - 08 - 2017 : Send Notify Via Email Bug Fixed • 08 - 08 - 2017 : Me Ask Bug Reward • 09 - 08 - 2017 : Website Owner Ask Me Email PayPal For Bounty Reward • 09 - 08 - 2017 : Me Send Email Paypal • 09 - 08 -2017 : Reward Send And I Received Boun

Airasia.com | Bug Cross-Site-Scripting On Airasia.com Hey Guys Kali Ini Saya IG : https://Instagram.com/anggi_gunawan17  Promosi :D Akan Share Bug Xss Di Website Airasia.com Dan Sebelum nya Saya Minta maaf Kepada Pihak Airasia.com Karna Share POC Bug Sebelum Bug Itu di Fix knapa?  Saya sudah Kontak Lewat email Udah 1 Minggu Guys -_- ga Di Respon Ok Langsung Aja Ke TKP POC : 1. Gunain Nih Url  : http://seatavailability.airasia.com/index-pjson.php?pcd=rr1510107&c=hk/zh&a=XIY&h=hk/zh%27;}}alert(%27XSS%27);v=function(){{b=%27 2. Langsung copad aja Guys Males Ketik Klo ga ada Bounty Reward :'v • 19 Juli 2017 - Report Via email • 29 juli 2017 - belum Di Respon Nb : Yang Beruntung Aja Tuh Laporin Saya udah Kenyang Sama Bounty reward + terima Kasih :v

How I Find This Bug Xss In Viva.co.id Hay Guys Ini Postingan Sekaligus Perjalanan Bug Hunter saya Nih Hehe.. Curhat Dikit. Oke Langsung Aja, Di Bawah Ini ada POC Bagai Mana Saya Menemukan Bug Xss (CROSS-SITE-SCRIPTING) di Viva.co.id   POC :  1. Gunakan Url : http://log.viva.co.id/frame/read/ 2. Script Xss Yang Udah Di Encrpy Base64 :  Ij48c2NyaXB0PmFsZXJ0KGRvY3VtZW50LmRvbWFpbik7IDwvc2NyaXB0Pg== 3. Kita Tempel Di Belakang Url jadi : http://log.viva.co.id/frame/read/Ij48c2NyaXB0PmFsZXJ0KGRvY3VtZW50LmRvbWFpbik7IDwvc2NyaXB0Pg== 4. Setelah Itu Tempel di Address Bar Lalu Enter Tara.. Jreng.… jreng… jreng… Muncul Tuh Kotak Alert Dan Sangat Di Sayangkan Guys Website dalam Negri Jarang Kasih Bounty Reward :'( Udah Capek" Kan Cari Bug Malah Dapet Terima Kasih :'( • 20 juli 2017 - Bug Report • 20 juli 2017 - Bug Confirm And Prosses Fixed • 23 Juli 2017 - Owner Tanya Apa Anda Mau bergabung Bersama Viva.co.id Developers • 24 Juli 2017 - Saya Balas Apa Viva.co.id Me