»Unlabelled » Ini Cara Saya Menemukan Information Disclosure di keuportal.akakom.ac.id

Ini Cara Saya Menemukan Information Disclosure di keuportal.akakom.ac.id

admin at

hallo sobat, assalammualaikum, selamat malam menjelang pagi, bagaimana kabar kalian? selamat mengunjungi dan membaca di blog yang hampir mati ini, hehehe.
kali ini saya mau update sesuatu nih, mengenai penemuan bug saya di akakom, yup, di kampus saya sendiri. mau tahu apa yang kutemukan dan bagaimana caraku menemukan?  yuk simak tulisanku.
sama seperti mahasiswa pada umumnya, saya mempunyai tanggungan bayaran tiap awal semesternya, yaitu spp variabel, spp variabel itu bayaran ke kampus, karena telah mengambil beberapa mata kuliah. tak ingin telat membayar karena takut kena denda, saya selalu cek tagihan di keuportal.akakom.ac.id, setelah iseng-iseng lihat-lihat webnya, lah kok nemu bug information disclosure, wkwkwkw, jujur sih, ini temuan bug information disclosure saya pertama, dan rasanya wtf, "ini kah cinta" wkwkwk.
information disclosure adalah sebuah bug dimana seseorang yang tidak mempunyai wewenang atau akses, dapat melihat informasi yang seharusnya hanya orang yang memiliki akses tertentu yang dapat melihatnya.


pada segitiga CIA, data disclosure masuk pada confidentiality, dan pada OWASP top 10, masuk pada A3:2017-Sensitive Data Exposure.
sekarang masuk ke "bagaimana cara saya menemukannya".

pertama saya login seperti biasa, ya sama seperti mahasiswa lainnya.

nah, kemudian buka rekab bayaran sebelum-sebelumnya disini.
wah ada parameter nih, pikiran kotor saya langsung bergeliat, wkwkw, iseng-iseng coba lah sql injection, gk bisa, trus coba ganti nimnya jadi nim temen, siapa tahu bisa berubah jadi rekab bayaran temen, eh, gak bisa juga wkwkwk.

nah, entah kesambet apa, saya coba hapus beberapa kata di url nya, jadi kek gini, keuportal.akakom.ac.id/keuportal/index.php?r=sppVarRinci
ini beneran saya jujur, gk ngerti kalo kek gini bisa buat nampilin beberapa informasi, saya sih sempet belajar yii di kelas (kekna keuportal pake yii), ya tapi gitu lah, seringnya tidur dikelas, wkwkwk, jadi gk paham betul. ya tapi, alhamdulilah lah, akhirnya bisa nemu bug information disclosure juga, wkwkwk.


disini saya bisa membaca beberapa biaya spp variabel mahasiswa lain, dengan lengkap, wkwkwk.


beberapa hari, setelah saya menemukan bug itu, saya langsung melaporkannya ke pihak akakom melalui info@akakom.ac.id, dengan mengirimkan video POC, dan dibalas besoknya, pada siang hari.


kenapa butuh beberapa hari untuk saya laporkan? karena saya sibuk.
kenapa saya melaporkan? karena saya tidak mau ada orang lain yg mengekspos data saya dikampus, karena waktu-waktu anak kampus ungu lagi panas-panasnya sama akakom, sampe deface web akakom, eh upload file maksudnya, wkwkwk.
dan mungkin ada yang tanya, "apakah mendapatkan bounty?" jawabanya adalah . . . . . .
wkwkwk, saya sih berharap, spp saya digratiskan semester ini, karena temuan saya itu, tapi ya gitu lah, email saya aja gk dibales lagi, padahal webnya udah fix, hahahaha.


ya, gk pa-pa lah, kalo kata orang, ilmu itu lebih berharga dari uang, jadi saya anggap ini sebagai pengalaman buat kedepan.

sekian tulisan saya kali ini guys, terimakasih telah membaca, kalo ada salah tulis, ya maafkan lah, wkwkwk.
walaikumsalam. :D
Share this article :

2 comments:

  1. Afrijal DzuhriOctober 14, 2018 at 7:33 PM

    keren emang kamu bah

    ReplyDelete
    Replies
    1. bahtiyarOctober 14, 2018 at 9:05 PM

      wah, aku dicoment suhu rizal -/\-
      gk keren jal, gk dapet bounty soalnya :'v

      Delete

Subscribe to: Post Comments (Atom)
 
Copyright © . free everyday - Posts · Comments
Theme Template by BTDesigner · Powered by Blogger