Posts

Showing posts from 2018

Bug Microsoft.con | Bug Open Redirect At Microsoft.com

Image
How I Found Bug Open Redirect At Sub Domain Microsoft.com Hay, Kali Ini Saya Akan Membagikan Bug Temuan Saya Di Salah Satu Sub Domain Microsoft.com Yaitu Di  https://dpa-fwl.microsoft. com/ Bug Yang Saya temukan adalah Bug Open Redirect Url Vuln :  https://dpa-fwl.microsoft. com/redirect.html?url= https://evil.site Poc : 1. Edit Evil.site Dengan url Tujuan. Timeline : • 01/08/2017 - Report Send • 03/08/2017 - Robots Reply • 22/11/2017 - Bug Valid • 07/06/2018 - Bug Fixed Ask Name For HOF • month May 2018 Hall Of Fame (Anggi Gunawan At https://bugbounty-hunter.blogspot.co.id https://technet.microsoft.com/-us/security/cc308589

Bug Tokopedia | Bug information leakage

Image
How I Found Bug Information Leakage On Tokopedia.com Baru baru ini saya Mencoba mencari Keberuntungan Di Situs Yang Pungkin waktu Itu Situs Yang Paling saya benci Karna Setiap Penemuan Saya di anggap Duplikat, Namun Di sini saya tersadar karena security Research Bukan Hanya saya, Dan Di Bulan ke 4 Ini saya mencoba Mencari Bug Di Website Tokopedia di domain Pulsa.tokopedia.com Dimana Waktu Itu saya Sedang Mengecek Ulang Bug Yang saya laporkan Terlebih Dahulu yaitu Self-xss Di Fitur favorit phone number, Namun Saat Saya mencoba Me reproduc Ulang Bug Saya malah Menemukan kebocoran Data di fitur tersebut Saya dapat Melihat : No handphone No BPJS No tagihan Kredit No TV Kabel No Pajak Dll Url Vuln : Pulsa.tokopedia.com/favorit-list Untuk Alasan Keamanan Saya tidak Akan Membagikan Poc Tersebut di sini, Saya hanya menceritakan Ada nya Kebocoran Data di Tokopedia, Dan Sayang Nya Bug Ini Juga di anggap Duplikat Mungkin Lain kali saya akan upload video nya, Namun sete

Bug Tokopedia.com | Bug Open Redirect reflected XSS

Image
How I Found Bug Open Redirect reflected XSS Di Bulan ke 2 di tahun 2018 Ini Lumayan banyak bug saya temukan di website Tokopedia dan Bukalapak namun hanya bug yang menurut saya menarik dan belum Di temukan Oleh Research Security Lain, Bug Yang saya temukan kali Ini adalah Bug open redirect yang dapat saya exploit ke Xss Url Vuln :  https://m.tokopedia.com/filtron/comparefp?redirect=evil.site Poc : 1. Edit url vuln evil.site menjadi site target / url xss base64 2. Enter,  Timeline : • 09 - 02 - 2018 : Poc Send • 10 - 02 - 2018 : Reply Bug valid and ready to fix • 10 - 02 - 2018 : Bug Fix in 8 jam • 15 - 02 - 2018 : Sertifikat di terima

Bug Bukalapak.com | Information Leakage - Phone Number

Image
How I Found Bug Information leakage - Phone Number Di Bulan ke 2 lalu di tahun 2018 ini saya menemukan bug di fitur baru bukalapak.com, Yaitu Di Fitur Send Gifts Pulsa/ paket data, Dimana Dari bug Ini saya dapat melihat No Hp dan no hp belum ter verifikasi Akun Bukalapak lain, Sikat Cerita Sebelum Saya menemukan bug ini saya membaca 1 artikel Di blog entah apa link nya saya lupa, Di artikel Tersebut Mengungkapkan Tentang Bug Facebook Dimana Pengiklan Dapat melihat no hp Akun facebook, dari Situ saya Terinspirasi Untuk mencari celah di beberapa Website tokopedia, Bukalapak, traveloka, Di akhir bulan ke 2 Saya menemukan Bug Tersebut Di Website Bukalapak.com yaitu Di Fitur Gifts to friends. Url Vuln: https://m.bukalapak.com/data/new?funnel=friend-gift&package_id=250&recipient_id=(ID USER BL) Poc : 1. edit url Vuln di atas, Edit Id user dengan Id target 2. Copy and paste Url Di address bar Bila transaksi di lanjutkan Berarti No Tlpon User tersebut sudah di verifika

geevv.com | Bug XSS dan HTML injection

Image
How I Found bug XSS and Bypass HTML injection Geevv.com hay, kali ini saya bakalan share pOC bug di website geevv.com, website ini sendiri adalah website buatan anak indonesia dan 80% penghasilan dari website ini di sumbangkan, jadi jangan tanya ada reward ga? reward nya berapa? :v ga ada gan kali ini sekalian amanin website bangsa saja hehe, ok langsung aja POC :  Script XSS :  <  IFRAME  SRC="javascript:alert(' XSS ');">< / IFRAME > Script bypass :  < font color = "x">< H1><h 2>HTML INJECTION</h2 ><marquee> SULING. NINJA16@GMAIL.COM < /marquee> HTML INJECTION BY : ANGGI GUNAWAN</ H1>< /font> 1. masuk ke geevv.com masukan pencarian dengan kata kunci script bypass di atas dan boom script lolos dari filter  untuk Bug xss : 1. masuk ke  https://geevv.com/register? isi nama dengan script xss di atas 2, isi semua data yang di perlukan, lalu register 3. reload page dan boom x