Tuesday, September 20, 2016

Security Review Ciayo.com

Intro

Sekitar sebulan yang lalu tepatnya bulan agustus saya dan beberapa teman menghadiri event Popcon Asia salah satu event industri kreatif terbesar seasia dan yang pasti bakal banyak orang yang dateng.
Awal nya siih males banget ikut yang beginian soal nya saya typical orang yang benci keramaian (introvert) tapi karena disitu ada bang Fazza Meong si creator Juki saya akhirnya mau datang.

Selain Cosplay, Action Figure dan Komik ada 1 hal lagi yang menarik perhatian saya yaitu CIAYO, hmmm apa yah ciayo? Katanya siih ciayo itu Virtual social platform pertama di Indonesia ehh di Dunia... kata mba mba cantik yang saya tanya siih gitu, Nah loh Virtual Social Platform apa lagi tuh?
Simpel nya siih Ciayo memungkinkan kita untuk dapat mengekspresikan diri, mengeksplorasi aktivitas serta berinteraksi dengan sesama pengguna melalui konten ilustrasi visual.

Ciayo: Virtual Social Platform?

Oke jadi seperti apa siih Virtual Social platform itu. Ketika pertama kali saya kunjungi situs ini masih dalam tahap beta. Setelah berhasil membuat akun saya diarahkan untuk membuat avatar, Oke sejauh ini lumayan, sempet bingung siih cara main nya karena awalnya saya kira ini semacam situs Chating menggunakan Avatar kayak IMVU tapi ternyata bukan ini jauh lebih ribet. Entahlah saya masih belum mengerti konsep Virtual social itu seperti apa dan yang terpenting saya tidak tau bagian mana yang menyenangkan dari ini semua -_- 

Ohh mungkin karena saya belum punya teman di situs ini oke masuk akal saya butuh teman untuk berinteraksi biar ga mati gaya.

How to be Famous on Ciayo.com

Dan karena saya sombong saya gamau ngeadd orang yang gak saya kenal saya maunya di add gapapa jelek yang penting sombong hehehe :p
biar simple nyari user nya jangan manual tapi pake Burp Suite nanti hasil pencarian akan tampil secara lengkap beserta user ID dan info penting lain nya :D saya gak akan jelasin basic penggunaan burp suite kalian bisa googling atau klik link yang sudah saya sertakan diatas yang jelas burp suite ini tool wajib untuk melakukan Penetration testing pada website.

Ohh iya user yang saya cari ini bukan user sembarangan tapi mereka adalah orang-orang yang bikin Ciayo.com mereka menyebut diri mereka The Dragon Team ckckck serreeem gak tuh >_<

Target pertama adalah Borton Liew CEO nya Ciayo.com, saya mulai me-request POST  ke API server Ciayo untuk mencari username yang tersedia:

Burp suite find user


Setelah request terkirim lalu server memberikan beberapa data: 

burp suite server response

Lalu saya catat data user_ id dan username data ini akan saya gunakan untuk men-tag mereka tanpa harus menjadi teman terlebih dahulu ^_^  cara ini saya ulang dengan username yang berbeda sesuai dengan nama staff  Dragon ohh iya saya menggunakan Facebook Graph Search untuk mencari orang-orang yang bekerja di Dragon Capital Center (perusahaan yang membuat situs Ciayo) dengan keyword "People who work at Dragon Capital Center" 



Tagging without being a friends


Finally! setelah data yang diperlukan terkumpul "let's hackin begin" saya mulai meposting sesuatu dengan menandai mereka kedalam postingan saya tanpa harus menjadi teman terlebih dahulu hehehe :D




Ini hasilnya:





Bonus : Change your own Title on Avatar Profile Page

  • Kunjungi halaman profile avatar kamu
  • Arahkan cursor ke avatar kamu lalu klik > edit nama tampilan & titel
  • Intercept koneksi http menggunakan Burp Suite
  • Ganti Titel kamu lalu klik Simpan
  • Tunggu sampai data di tangkap oleh burp suite 
  • Lalu ganti data tersebut sesuai dengan keinginan kamu
  • Klik Forward untuk mensubmit data



Ini Hasilnya : 



Catatan:

Ada beberapa bugs yang tidak saya publikasikan disini diantaranya:

  • Broken Input Validation yang mengakibatkan siapa saja bisa mendapatkan sticker premium secara gratis
  • Credentials Information Disclosure from API Server mengakibatkan siapa saja melihat informasi sensitif user lain
  • Dan yang paling berbahaya adalah Bugs CSRF yang memungkinkan siapa saja untuk mengubah password, menghapus status atau mengganti status user lain hanya dengan mengklik link

Update:

Bugs ini sudah di patch pada tanggal 23 September 2016


ehhh tau gaak? sekarang Ciayo udah ganti nama jadi Ciayo Comic sebuah pivot besar dari social media menjadi Comic Platform ala ala webtoon gitu. Kayaknya siih perubahan besar ini gak terkait sama hacking yang saya lakukan deh tapi entah lah... yang pasti Startup dengan ambisi besar tanpa didahului validasi ide terhadap pasar yang dituju pasti akan bernasib sama yaitu membuat sesuatu tanpa ada satupun orang yang mau menggunakan nya jika adapun pengguna gak akan bertahan lama...



Tapi berhubung "startup yang membuat ciayo bukanlah sebuah startup" melainkan cabang dari perusahaan besar cara ini sah-sah saja soalnya dana nya unlimited boss hehe kebayang gak siih dana yang dihabiskan untuk big launching di event sebesar Popcon Asia belum lagi ngegaet Buzzer sosmed buat promosi besar-besaran hmmm yang jelas cara ini gak cocok buat startup yang resource nya serba terbatas maka dari itu sebelum membuat startup dengan ide besar sebaiknya baca dulu buku Lean Startup karya Eric Ries btw sebenarnya background saya bukan IT tapi Bussiness Management hehehe 

Untuk Ciayo good luck yaa semoga kali ini sukses ohh iya comic nya bagus-bagus loh, saya paling suka cerita tentang Cantika walaupun belum official release tapi saya udah download beberapa comic disana nih buat yang mau baca :











How can i download this even when they're not release it yet, cuz i pwn their server...







12 comments:

  1. This comment has been removed by the author.

    ReplyDelete
  2. saya ada scan juga sih gan , tapi numpang tnyk dung , kebetulan baru belajar dan baru daftar di ciayu gara' baca postingan agan ,

    yang bug agans maksd itu /gruntfile.js , /package.json , trus yang CSRF yang gk pake protection bukan??

    ane scan dpt itu sih , cuma gk tau gmn apainy
    siapa tau agan mau bagi ilmu atau clue gitu :D

    makasih sebelumny gan

    ReplyDelete
  3. Ciayo engine nya pake AngularJs gans, jadi komponen json gak ngaruh sama eksploit yang saya pake disini. Json hanya untuk menampilkan data saja. Penyebab bugs ini sebenarnya adalah admin gak memfilter input user jadi kita bisa mensubmit data apapun. Nah kalo CSRF itu termasuk bugs XSS gan

    ReplyDelete
    Replies
    1. wuah kayakny beda nih yang saya dapat sama agan dpt , maklum baru belajar , jadi agan ikuti tut di atas bisa gk? saya gk bisa ,

      atau udah di fix yah ??

      Delete
    2. Terima kasih gan infony , gan silihouette sharing ilmu dung , sama pemula kayak saya , ada email yang bisa di hub gan? :D

      Delete
    3. iya disuscribe aja blog saya http://www.casperspy.org/feeds/posts/default info terbaru bakal di update disini
      oh iya ini email saya donationcaspergmailcom

      Delete
  4. Visit this blog http://spying.ninja/how-to-detect-spyware-on-android/to get the best tips and articles on spying and security issues

    ReplyDelete
  5. This comment has been removed by the author.

    ReplyDelete
  6. Hello bro, your website has changed compared to the last time I watch your tuts on youtube. How do I download the free 7 days trial of the casperspy and how do I make purchase afterwards. Please this is urgent.

    ReplyDelete
    Replies
    1. sorry for very late response my website has been suspended bro because of hosting policy that forbid botnet to stored in their server. Now i'm trying to rebuild my botnet in python as u can see in my latest post

      Delete