.png)
3 years ago
155 BOOK THIS SPACE FOR AD
ARTICLE AD
بسم الله الرحمن الرحيم
Saya mengawali masa lockdown tahun 2020 dengan melakukan bug bounty di platform Hackerone .
Setelah saya memilih program dan salah satu scopenya, saya mencoba fuzzing dengan ffuf dan ada kesalahan saat mengetik endpoint. Karena kelebihan menambahkan backslash di url, endpointnya jadi seperti dibawah ini:
ffuf -u https://redacted.com/redacted//FUZZ -w wordlist.txt
Saat saya mau cancel tiba-tiba muncul endpoint metrics dengan status 200. Endpointnya seperti ini:
https://redacted.com/redacted//metrics
Setelah saya cek tampilannya seperti ini
Saya cek linknya satu-satu sepertinya berdampak dan saya laporkan. Alhamdulillah report diterima.
Timeline
17 March 2020 Report Submitted
18 March 2020 Triaged
18 March 2020 Severity Low Bounty $$$
18 March 2020 Resolved
Hampir satu bulan berlalu, tiba-tiba saya terpikirkan path traversal dan teringat bug ini
Saya mencoba menambahkan
%0a/%2e/%2e
Endpointnya menjadi seperti ini
https://redacted.com/redacted/metrics/%0A/%2e/%2e
dan ternyata berhasil
Saya laporkan hari itu juga, dan mendapatkan respon.
Timeline
31 March 2020 Report Submitted
1 April 2020 Triaged
1 April 2020 Severity Low Bounty $$$
23 April 2020 Resolved
Menunggu hampir satu bulan,akhirnya bug berubah status menjadi resolved dan fix. Saya pikir sudah dapat di bypass lagi.
Tapi tidak sah kalo belum dicoba hehehe
Sekitar hampir 2 jam berkutat di endpoint ini dengan menambah header, path traversal, parameter fuzzing dan hasilnya nihil,iseng coba ganti huruf akhirnya yaitu s=%73
Endpointnya menjadi seperti ini
https://redacted.com/redacted/%0A/%2e/%2e/metric%73
dan Bisaaaaaaaaaaaaa
Timeline
23 April 2020 Report Submitted
24 April 2020 Triaged
18 May 2020 Severity Low Bounty $$$
10 June 2020 Resolved
Setelah hampir 2 bulan, fix yang di implementasikan adalah jika ada kata metrics di url maka akan ke 403 page
Mohon maaf kalau ada kesalahan kata dan kurang jelasnya di postingan pertama ini
Bengali (Bangladesh) · 
English (United States) ·