Assalamualaikum temen temen , pada kali ini kita akan membahas tentang penemuan saya pada website codepolitan.com.
Jadi sekitar bulan maret saya mencoba untuk memasukan sebuah payload xss hunter pada halaman event di codepolitan , semua bermula di saat saya iseng mencoba memancing saja pada page tersebut .
Kurang lebih saya menunggu hampir 1 sampai 2 minggu tidak ada notifikasi trigger yang masuk ke xss hunter saya , disana saya mulai pupus harapan hehe. Pada tanggal 5 april saya mendapat sebuah notifkasi melalui email , dan ternyata umpan saya berhasil di makan oleh admin codepolitan .
Saya mendapatkan sebuah cookies sang admin , disana saya mencoba untuk memasukan cookies nya dan ternyata invalid , ya cookiesnya sudah angus dalam hitungan jam š .
Tidak sampai disitu , saya yang masih penasaran dalam kegelapan malam mencoba untuk membuka URL https://www.codepolitan.com/admin/post/post/index/all/event
dan ternyata di luar dugaan teman teman , sang developer tidak memfilter user secara baik , saya yang login sebagai user biasa bisa mengakses halaman admin tersebut tanpa system validasi
Pada dasaranya untuk membuat sebuah website kita harus paham apa itu RBAC ( Role Base Access Control ) dimana setiap user memiliki akses masing masing , simpel codingnya seperti ini
Sayangnya codepolitan tidak menggunakan system validasi yang baik sehingga saya bisa masuk ke page admin dengan role sebagai user/member.
Dan ternyata berhasil
Timeline Bug Report
Report bug ke developer codepolitan : Sabtu 6 April 2019 05:43
Developer merespon email : Sabtu 6 April 2019 06:29
Developer melakukan patch : Sabtu 6 April 2019 06:59
Bug dinyatakan valid dan nama saya dicantumkan pada credit codepolitan : Sabtu 6 April 2019 07:30Credit to Bug Reporter – CodePolitan.comWebsite tempat belajar pemrograman berbahasa Indonesia lengkap dengan beragam format seperti kelas online, tutorialā¦www.codepolitan.com
Thanks codepolitan , walaupun ga dapet sertifikat dan mercendes wkwk setidaknya saya membantu security di codepolitan menjadi lebih baik .
Winardi Adji Prasetyo ~
Bang..saya juga mau bisa bug Hunter…ajarin dong..
Ini WA saya ..
081265322084
We should try for different solutions of a problem so that the scope of problem can be easily understood and solution can become more easier. Debbie Itch Aspia
There is visibly a package to know about this. I assume you made sure great points in features additionally. Lethia Leroy Thornburg
Great, thanks for sharing this blog post. Thanks Again. Want more. Cara Rey Susan
Thanks for sharing your thoughts on situs poker deposit pulsa. Julianne Arni Jemmie
I do believe all of the ideas you have offered in your post. Meagan Cart Gerdy
A big thank you for your article post. Really looking forward to read more. Fantastic. Merle Hercules Max
I think this is a real great post. Much thanks again. Awesome. Antonie Judas Colfin
There is definately a lot to know about this topic. I love all of the points you have made. Averil Halsy Argus
Way cool! Some extremely valid points! I appreciate you penning this post plus the rest of the website is very good. Morissa Raleigh Greenberg
I like this blog very much, Its a very nice post to read and incur information. Emmi Shem Serafine
Fabulous, what a weblog it is! This blog presents helpful data to us, keep it up. Karine Langsdon Gerhardine
Hello, every time i used to check web site posts here early in the daylight, for the reason that i enjoy to learn more and more. Courtenay Armin Poppas
Symbols on the reels include Unicorn, Gems, Fairy Princess, Butterfly, and Garden. Cass Leo Clymer
Appreciate it for this post, I am a big big fan of this site would like to keep updated. Nathalie Oby Taveda