Masa Transisi

Jumat lalu menjadi meeting terakhir dikantor dan juga telah berpamitan dengan rekan - rekan. Mulai senin ini hingga beberapa waktu kedepannya sembari menunggu Surat Keputusan (SK) turun, salah satu aktivitas yang perlu ditingkatkan adalah membaca dan mungkin menulis.

-

Untuk membaca, sekarang bakal banyak berkisar tentang hubungan luar negeri (Foreign Affairs) dan juga tentang hukum. Karena ditempat yang baru nanti memang lingkungannya bakal seperti itu. Tapi ya kembali lagi, nanti tergantung situasi dan kondisinya dilapangan. Soalnya kalau kata senior, kondisi ataupun kebutuhan itu nanti bisa mengalahkan aturan :D.

-

Pengen jualan, tapi dikampus mahasiswa udah mulai mendekati UAS. Hari ini juga terakhir buat gue jualan dikampus. Lumayan mantaplah jualan dikampus buat nambah2 penghasilan. Setidaknya gua udah dapat rumusnya, nanti setelah ditempat yang baru kalau memang ada peluang bakal usahain buat buka usaha juga.

-

Yaps, intinya gua ga pengen aja masa transisi ini terbuang dengan sia - sia. Aktifitas favorit gua saat ini adalah baca :D. Supaya membuka cakrawala gua lebih luas lagi.

[BUG] Stored XSS pada Tribunnews.com

Kali ini mau share celah yang terdapat pada situs Tribunnews.com, yang merupakan salah satu situs berita. Pertanyaannya, kenapa milih Tribunnews ?

.

Okey, jadi awalnya nyari Top 100 Sites in Indonesia dari Alexa Rank. Nah dari situ, ternyata muncul Tribunnews dalam urutan ke-4.

.

.

Dari daftar diatas, akhirnya saya pilihlah situsnya Tribunnews. Seperti biasa, saya register dan jadi anggota di Tribunnews. Setelah itu saya diminta buat ngisi profile dengan form yang tersedia. Langsung saja saya masukkan payload pada form yang ada :

.

'">><marquee><img src=x onerror=confirm(1)></marquee>"></plaintext\></|\><plaintext/onmouseover=prompt(1)>

.

.

Setelah terisi semua, langsung klik Simpan. Dan tadaaaa, sistem langsung nge-execute perintah <mareeque> pada halaman profil saya. Oiya, buat yang belum tau fungsi tag html <mareeque> adalah untuk membuat teks berjalan, mirip2 kayak iklan Running Teks gitu.

.

.

Biar lebih legit saya sertakan juga vide Proof of Concept (PoC) dibawah ini :

.

.

Untuk Stored XSS ini berbeda dengan Reflected XSS seperti yang terjadi pada iGracias Telkom University. Karena kalau yang Stored XSS ini, setiap user me-reload halaman, payload kita akan selalu di-execute. Beda dengan Reflected XSS yang hanya muncul ketika di trigger oleh attacker-nya. Maka dari itu juga, severity-nya lebih tinggi sedikit dari Reflected XSS.

Ini salah satu buku yg menurut saya bagus. The Power of Broke, buku yg menceritakan tentang "kekurangan" bisa menjadikan hal lebih pada diri kita. . Maksudnya, jika kita terlahir dengan kondisi miskin dan keluarga bermasalah, sebenarnya ini bakal lebih memacu kita untuk bekerja lebih keras untuk memperbaiki kondisi kita. . Contoh lain misalnya, perusahaan kecil yg baru berdiri akan lebih menggunakan social media untuk mempromosikan produknya dibanding harus membayar mahal iklan di TV. . Berbeda dengan perusahaan besar dengan jumlah kapital yg besar. Mereka akan jarang sekali menggunakan social media untuk media promosi. Buktinya bisa dilihat di TOP 500 Company yg di list majalah Fortune. Bisa diperhatikan bahwa banyak yg punya akun twitter tidak aktif. . That's why, disadvantage condition not always make you broke. . Buku lain yg menceritakan kondisi serupa adalah tulisan dari Malcolm Galdwell yg berjudul Goliath vs David.

[BUG] Reflected XSS pada iGracias Telkom University

Biasanya ngepost artikel yang kaitan dengan IT security di situs foxlite.net. Cuma berhubung situsnya lagi maintenance jadinya di post disini dulu aja deh. Minggu ini iseng - iseng nyari celah (hole) disitus kampus gue dulu (Telkom University), penasaran ma sistemnya soalnya. 

.

Kayak biasa, buat nyari celah pasti gue lihat dulu dari mulai yang paling mudah yaitu Cross Site Scripting (XSS). Kenapa paling mudah, karena kita tinggal cari input field pada situsnya terus kita masukin payload kita. Kalau payloadnya direspon berarti situs tersebut memang vulnerable, tapi kalau gak ya berarti aman.

.

Nah pas buka Menu Profile di iGracias ada input untuk masukin alamat blog eksternal kita. Yaudah, disitu saya coba masukin payload nya seperti ini :

.

Payload : “><svg onload=alert(1)>.jpg

.

Lalu setelah payloadnya dimasukin dan kita tekan Ok, maka sistemnya akan merespon dan memunculkan alert bernilai 1 seperti pada gambar berikut :

.

Celah semacam Reflected XSS ini terjadi karena tidak adanya filter ketika menerima inputan dari user. Penanganannya bisa dilakukan filter pada string “,<,> dan lainnya yang dapat memicu terjadinya XSS. Kalau pakai PHP, bisa pakai fungsi preg_match.

.

Oiya, biar lebih legit saya sertakan juga video Proof-of-Concept (PoC) nya :

.

Terakhir, celah XSS ini tidak terlalu terbahaya. Hanya skala 2 (harmfull) dari 10, nilai ini berdasarkan skala yang sering saya temui di situs bug hunter semacam HackerOne dan BugCrowd.

Selesai syudah memeriksa UTS anak-anak. . Dari data yg didapat, ada hal yg menarik. . Ada siswa yg dikelas penampilannya biasa, karakternya calm, ga terlalu aktif tapi ga terlalu diam banget. Pokoknya selo lah anaknya, ga suka show off. . Dari hasil UTS yg dihasilkan, ternyata tuh anak yg nilainya paling tinggi. . Gua pribadi jadi pengen belajar Selo sama siswa ini. Ga perlu banyak tingkah ini dan itu, yg penting dibuktikan dengan tindakan. No VCT, No WCN. . Angkat topi dah buat siswa ini. . #studentfact #fact #siswa #calm #slow #selow #woles

Review Flashdisk KW. . Awalnya beli buat dipake boot persistence beberapa OS. Pas cek ditoko online harganya murah, memang ditulis di deskripsi produk kalau FD nya KW. Yaudah akhirnya beli banyak sekalian biar ongkos kirismnya murah. . Diingetin sama temen memang kalau FD yg murahan gitu ga bisa dipake buat booting. Tapi karena gue penasaran akhirnya gue coba aja dulu. . Ternyata pas barang dah sampe dan dicoba malah ga bisa. Karena ga bisa akhirnya gue format buat ngebersihin data-datanya. Harapannya setelah diformat bisa balik kayak awal tapi ternyata malah ga bisa dipake sama sekali jadinya. . Dicolokin ke laptop atau PC ga ada kedetect sama sekali. Gue beli 5 FD, jadinya yg rusak ada 3 karena ketiganya gua coba format. Sisanya ga diapa-apain, takut malah rusak semua. . Intinya, buat yang mau beli FD murah atau KW gini hati2 aja. Gampang rusak, mendingan beli yg agak mahal dikit tapi bisa awet. Terlebih lagi buat yg mau dipake booting.

Sesekali yg dijemur laptop, biar terlihat lebih bersih dan kuat 😄. . #laptop #engineer #itsec

Akhirnya nemu Lontong Padang juga setelah sekian lama si teteh ngidam Lontong Medan. Setidaknya mirip2 lah ma lontong medan komposisinya. . Buat yg mau nyari juga, lokasinya ada di dekat bunderan kampus. . #lontong #padang #medan #kuliner

Artikel bagus buat yg masih sering ngerasa gagal dalam melakukan sesuatu. . Kuncinya kalau dalam artikel ini adalah KONSISTEN.

Finally, ka Azzam telah menyempurnakan separuh agamanya. . Semoga menjadi keluarga yg Sakinah, Mawaddah dan Warahmah. . #trends #cafe #married #marry #wedding

Foto Nge-blur. . Beliau Mr. Rao M Papolu, CEO dari perusahaan Cavirin yg letaknya di Sillicon Valley. Kantornya pas disebelahnya Apple. Salah satu perusahaan yg jadi sponsor Black Hat dengan nominal $80K. . Kalau nanti ada kesempatan, mudah2an bisa datang ke kantornya di Sillicon Valley. . Jadi bagian di acara #CodeBALI, gak cuma dapat pengalaman tentang kerjaan, riset, dan ilmu baru. Tapi hal penting lainnya adalah kita bisa membangun relasi yg baru. . Disana jadi belajar juga, mereka yg posisinya udah berada di top level perusahaan ternyata orang2nya humble dan mau berbaur. . Thanks for mr Rao M Papolu for your time. . #codeBALI #Conference #International #CyberSecurity #Cavirin #SRA #networking #relation #ceotalk.

Menanti kehadiran brother @elvianangga di acara ini. . Ditunggu kedatangannya di Bali brother. Mari kita santai dan menyanyikan lagu pantai. . #bali #brother #desertstorm #callofduty

Kantin "Jujur" yang Ga Jujur

Perjalanan yang panjang, lumayan bikin kepala rada pusing2. Bangun pagi tapi tidur lebih malam. Pengen rasanya besok sabtu istirahat, tapi apalah daya, kata senior pengusaha itu jam kerjanya ya sepanjang waktu. Sekarang selain mikirin gimana naikin omzet, juga mikirin supaya produk yg dijual bisa aman. Aman dari praktek pencurian para oknum. Produk yg saya jual itu makanan (roti), dan itu ditaruhnya dikantin kejujuran. Kantinnya sih yg jujur, oknumnya mah enggak. Rotinya habis tapi duit yang ada ga sesuai dengan jumlahnya. Pengen rasanya ngeremes-remes si oknum pencuri ini. Cuma sayang aja belum ketahuan dia. Sekali ketahuan bakal gua kasih Tausyah No Jutsu ala Naruto supaya dia dapat hidayah. Besok sabtu, gua kayaknya bakal nyamar jadi mahasiswa lagi buat ngintip siapa oknum yg merugikan kantin kejujuran selama ini. °-°

Penting buat gue sampein ke anak2 pas lagi ngajar. Gue tekankan bahwa teori atau demonstrasi alat yg cuma dilihat tanpa dipraktekin itu bakal beda rasanya. . Sampe akhirnya gue minta salah satu dari mereka buat nyoba ngerakit alatnya dari awal. . Ternyata emang bener, mulai dari masang resistor, kabel pin, dll ga segampang pas ngeliatnya. Waktu dicoba, masih banyak yg salah masukin letak kabelnya. . Tapi gue sampein juga pesan lainnya, kalau jangan takut semisal alatnya rusak pas lagi praktek. Karena itu bagian dari pembelajaran. Tapi kalau alatnya rusak karena dipake buat usil atau mainan, nah itu baru layak diberi peringatan. . Itulah, teori pas belajar itu biasanya bakal beda kalau pas dipraktekin di lapangan.

Prepare yourself for the greatest cyber security competition. . #codebali #bali #cyber #security #hacker #redteam #student #pentest #cambridge

"Fall seven times, stand up eight". Japanese Proverb. . "You can't only beat the person who never gives up". Babe Ruth. . "With patience and experience, a man can do anything". Colonel Helmut Zeemo. . Semua quotes diatas, yg biasa jadi kata-kata penyemangat pas lagi hampir putus asa. . #Last, teringat kata2 Bryan Milss (Liam Neeson) pas di film Taken waktu anaknya diculik. Dia bilang ke Jean-Claude Pitrel (French Polisi Office), "Kalau perlu aku runtuhkan menara Eiffel, bakal aku runtuhkan untuk bisa menemukan anakku". Apapun bakal Bryan lakukan untuk anaknya. . Selain quotes diatas, memang bener apa yg dibilang orang2 tua dulu. Kalau kita bakal tambah semangat setelah kita #berkeluarga. Karena kita ga cuma berjuang untuk diri sendiri, ada anak dan istri yg menjadikan kita sebagai sandaran hati mereka. . #family #brotherhood #standup #catering #adventure #fight

Attended on Cyber Security & Risk Management seminar. . #cyber #security #risk #management #seminar #men #black