.png)
11 months ago
57 BOOK THIS SPACE FOR AD
ARTICLE AD
Hello all.
Seminggu terakhir, saya mulai melakukan research terkait beasiswa untuk jenjang kuliah. lalu, saat melakukan research saya menemukan bahwa kemendikbud membukan beasiswa bpi (beasiswa pendidikan indonesia).
saya langsung mendaftarkan diri untuk berpastisipasi dan membuat akun. sialnya, itu khusus mahasiswa saja ternyata. terlintas sejenak dipikiran saya, bagaimana cara saya menghapus data-data yang sudah terdaftar di akun bpi. sedangkan jika kalian mendaftar, kalian akan melihat bahwa fitur nik dan email di protect atau disable sehingga tidak bisa diubah ataupun di otak-atik.
lalu bagaimana cara saya melepaskan diri dari protect tersebut?, mari kita bahas.
BAB 1 | Bypass email protection
seperti ini tampilan form dari profile diri. bisa kita lihat, bahwa fitur username yang berisikan nik dan juga email telah mereka protect.
mungkinkah kita membypass nya?, ya, mungkin. kita dapat membypass nya dengan cara menambahkan parameter email pada response json yang ada di burpsuite.
lalu, saya mencoba untuk click forwards, dan email pun berubah. saya berhasil membypass nya! itu, berarti saya dapat mengubah email milik saya menjadi milik orang lain.
BAB 2 | Memperluas serangan
saat berhasil membypass email yang terprotect, saya terfokus dengan parameter id. mungkinkah kita mendapatkan kerentanan idor dari id tersebut?, saya mencoba untuk mengujinya.
saya membuat 2 akun dengan memanfaatkan broken protect yang terdapat pada fitur email dan nik. jadi pada akun pertama saya mencoba untuk mengganti no nik terlebih dahulu, dengan metode yang sama seperti membypass protect email. pada akun kedua, saya mencoba untuk memasukan no nik dan ketika berhasil login lalu saya langsung mengganti nya, dengan no nik acak atau asal.
ketika akun kedua sudah berhasil dibuat saya mencoba untuk login dan menangkap id nya dengan burpsuite dan saya mendapatkan id akun kedua saya 189726. saya mencatatnya.
lalu saya logout dan login dengan browser mozilla di windows. pada os linux saya login sebagai attacker. saya mencoba untuk menangkap id akun pertama saya dan melakukan perubahan data diri.
gambar diatas adalah id akun pertama milik saya, lalu saya mencoba mengganti id nya dengan id akun kedua saya yang saya buat sebagai korban.
dan saya click forward, dan name akun korban, tempat-lahir, tanggal lahir pun langsung berubah! yup kita mendapatkan kerentanan idor. saya tidak ingin berhenti disini. saya pun berpikir bagaimana caranya agar kerentanan ini dapat memperburuk dampak yang ada.
BAB 3 | Mengambil Alih Akun Pengguna BPI Secara Massal
saat itu saya mencoba bermain-main sebentar dengan parameter yang ada, saya mencoba untuk mengisi parameter password dan menambahkan parameter nik dan email.
lalu saya mendapatkan response 200 ok! saya pun mencoba logout pada akun victim. dan mencoba login dengan menggunakan passwords yang lama namun saya mendapatkan response data not valid. lalu, saya mencoba login dengan passwords yang telah saya ubah lewat akun attacker, dan saya pun berhasil masuk. itu artinya kita dapat mengambil alih akun secara massal dengan memanfaatkan serangan idor dan broken protect, kita dapat mengubah email, nik, serta passwords pada akun victim. kita dapat menyempurnakan serangan ini dengan menggunakan burp intruder.
saya mencoba untuk melaporkan nya lewat csirt kemendikbud. dan mereka dengan cepat menutupnya. sialnya mereka tidak memberikan apresiasi apapun! saya merasa seperti ARKKKKKKKKKKKKKKKHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
Timeline Report
10 Mei 2023 — report
10 mei 2023 — Accept Report
10 mei 2023 — Fixed Bug
10 mei 2023 — No Rewards Anything
Bengali (Bangladesh) · 
English (United States) ·