Wednesday, September 21, 2016

Hack Tokopedia : Merubah alamat toko penjual lain

Intro

Saya tau bugs ini dari seorang teman kampus, karena saya lagi dikejar deadline saya langsung ke inti nya aja deh. Nanti kalo kerjaan saya sudah kelar saya akan rilis full write up nya

Vulnerability

  • Credentials Information Disclosure from target ID
  • Stored XSS
Bugs ini mengakibatkan siapa saja bisa memodifikasi alamat toko fisik penjual di Tokopedia.com

Proof of Concept


Note

This bug has been patched at 9/20/16 by Tokopedia Staff


Tuesday, September 20, 2016

Security Review Ciayo.com

Intro

Sekitar sebulan yang lalu tepatnya bulan agustus saya dan beberapa teman menghadiri event Popcon Asia salah satu event industri kreatif terbesar seasia dan yang pasti bakal banyak orang yang dateng.
Awal nya siih males banget ikut yang beginian soal nya saya typical orang yang benci keramaian (introvert) tapi karena disitu ada bang Fazza Meong si creator Juki saya akhirnya mau datang.

Selain Cosplay, Action Figure dan Komik ada 1 hal lagi yang menarik perhatian saya yaitu CIAYO, hmmm apa yah ciayo? Katanya siih ciayo itu Virtual social platform pertama di Indonesia ehh di Dunia... kata mba mba cantik yang saya tanya siih gitu, Nah loh Virtual Social Platform apa lagi tuh?
Simpel nya siih Ciayo memungkinkan kita untuk dapat mengekspresikan diri, mengeksplorasi aktivitas serta berinteraksi dengan sesama pengguna melalui konten ilustrasi visual.

Ciayo: Virtual Social Platform?

Oke jadi seperti apa siih Virtual Social platform itu. Ketika pertama kali saya kunjungi situs ini masih dalam tahap beta. Setelah berhasil membuat akun saya diarahkan untuk membuat avatar, Oke sejauh ini lumayan, sempet bingung siih cara main nya karena awalnya saya kira ini semacam situs Chating menggunakan Avatar kayak IMVU tapi ternyata bukan ini jauh lebih ribet. Entahlah saya masih belum mengerti konsep Virtual social itu seperti apa dan yang terpenting saya tidak tau bagian mana yang menyenangkan dari ini semua -_- 

Ohh mungkin karena saya belum punya teman di situs ini oke masuk akal saya butuh teman untuk berinteraksi biar ga mati gaya.

How to be Famous on Ciayo.com

Dan karena saya sombong saya gamau ngeadd orang yang gak saya kenal saya maunya di add gapapa jelek yang penting sombong hehehe :p
biar simple nyari user nya jangan manual tapi pake Burp Suite nanti hasil pencarian akan tampil secara lengkap beserta user ID dan info penting lain nya :D saya gak akan jelasin basic penggunaan burp suite kalian bisa googling atau klik link yang sudah saya sertakan diatas yang jelas burp suite ini tool wajib untuk melakukan Penetration testing pada website.

Ohh iya user yang saya cari ini bukan user sembarangan tapi mereka adalah orang-orang yang bikin Ciayo.com mereka menyebut diri mereka The Dragon Team ckckck serreeem gak tuh >_<

Target pertama adalah Borton Liew CEO nya Ciayo.com, saya mulai me-request POST  ke API server Ciayo untuk mencari username yang tersedia:

Burp suite find user


Setelah request terkirim lalu server memberikan beberapa data: 

burp suite server response

Lalu saya catat data user_ id dan username data ini akan saya gunakan untuk men-tag mereka tanpa harus menjadi teman terlebih dahulu ^_^  cara ini saya ulang dengan username yang berbeda sesuai dengan nama staff  Dragon ohh iya saya menggunakan Facebook Graph Search untuk mencari orang-orang yang bekerja di Dragon Capital Center (perusahaan yang membuat situs Ciayo) dengan keyword "People who work at Dragon Capital Center" 



Tagging without being a friends


Finally! setelah data yang diperlukan terkumpul "let's hackin begin" saya mulai meposting sesuatu dengan menandai mereka kedalam postingan saya tanpa harus menjadi teman terlebih dahulu hehehe :D




Ini hasilnya:





Bonus : Change your own Title on Avatar Profile Page

  • Kunjungi halaman profile avatar kamu
  • Arahkan cursor ke avatar kamu lalu klik > edit nama tampilan & titel
  • Intercept koneksi http menggunakan Burp Suite
  • Ganti Titel kamu lalu klik Simpan
  • Tunggu sampai data di tangkap oleh burp suite 
  • Lalu ganti data tersebut sesuai dengan keinginan kamu
  • Klik Forward untuk mensubmit data



Ini Hasilnya : 



Catatan:

Ada beberapa bugs yang tidak saya publikasikan disini diantaranya:

  • Broken Input Validation yang mengakibatkan siapa saja bisa mendapatkan sticker premium secara gratis
  • Credentials Information Disclosure from API Server mengakibatkan siapa saja melihat informasi sensitif user lain
  • Dan yang paling berbahaya adalah Bugs CSRF yang memungkinkan siapa saja untuk mengubah password, menghapus status atau mengganti status user lain hanya dengan mengklik link

Update:

Bugs ini sudah di patch pada tanggal 23 September 2016


ehhh tau gaak? sekarang Ciayo udah ganti nama jadi Ciayo Comic sebuah pivot besar dari social media menjadi Comic Platform ala ala webtoon gitu. Kayaknya siih perubahan besar ini gak terkait sama hacking yang saya lakukan deh tapi entah lah... yang pasti Startup dengan ambisi besar tanpa didahului validasi ide terhadap pasar yang dituju pasti akan bernasib sama yaitu membuat sesuatu tanpa ada satupun orang yang mau menggunakan nya jika adapun pengguna gak akan bertahan lama...



Tapi berhubung "startup yang membuat ciayo bukanlah sebuah startup" melainkan cabang dari perusahaan besar cara ini sah-sah saja soalnya dana nya unlimited boss hehe kebayang gak siih dana yang dihabiskan untuk big launching di event sebesar Popcon Asia belum lagi ngegaet Buzzer sosmed buat promosi besar-besaran hmmm yang jelas cara ini gak cocok buat startup yang resource nya serba terbatas maka dari itu sebelum membuat startup dengan ide besar sebaiknya baca dulu buku Lean Startup karya Eric Ries btw sebenarnya background saya bukan IT tapi Bussiness Management hehehe 

Untuk Ciayo good luck yaa semoga kali ini sukses ohh iya comic nya bagus-bagus loh, saya paling suka cerita tentang Cantika walaupun belum official release tapi saya udah download beberapa comic disana nih buat yang mau baca :











How can i download this even when they're not release it yet, cuz i pwn their server...







Monday, September 5, 2016

PIVOT

CasperSpy is not dead i just want to start something new so  your feedback will be very helpful.

This blog is about my other project and security topic focusing on Malware Development and Web Penetration Testing frequently here