Mencoba Cloud-Native Runtime Security dengan Falco di Amazon EKS - Bagian 1

Tulisan ini dibuat sebagai catatan saat mencoba Falco untuk memantau container secara runtime di Amazon EKS. Apa itu Falco? Falco adalah aplikasi runtime security yang berlisensi open-source dan gratis dikembangkan Sysdic, Inc. Saat tulisan ini dibuat, Falco masuk ke dalam CNCF project dengan status inkubasi. Manfaat Falco Falco dapat mendeteksi dan mengirimkan notifikasi apabila ada aktifitas di dalam container yang dianggap mencurigakan sesuai dengan aturan atau rule yang sudah dibuat sebelumnya....

August 13, 2022 · 7 min · fadhilthomas

[Writeup][CTF][GitHub] Privilege Escalation on GitHub Action

Bulan Maret 2021, GitHub mengadakan security competition, yaitu Capture The Flag yang menjadikan Github Action Workflow sebagai tantangannya. Peserta diberikan sebuah repositori pribadi yang berisi sebuah Github Action Workflow dan file Readme yang hanya memiliki akses baca atau pull saja. Tujuan dari tantangan ini yaitu peserta diharuskan melakukan update file di repositori tersebut. Problem name: log and process issue comments on: issue_comment: types: [created] jobs: issue_comment: name: log issue comment runs-on: ubuntu-latest steps: - id: comment_log name: log issue comment uses: actions/github-script@v3 env: COMMENT_BODY: ${{ github....

June 14, 2021 · 2 min · fadhilthomas

[Writeup][Bug Bounty][Tokopedia] Manipulate Other User’s Cart and Wishlist on Tokopedia [EN]

Before starting, IDOR is Insecure Direct Object Reference, hereinafter referred to as IDOR, is a condition in which users can access an object without passing the access rights check. (OWASP, 2019) With IDOR, a user can access, change, and delete data. This makes IDOR a very dangerous security hole. Please note, the bug discussed in this writeup has been patched by Tokopedia, and screenshots will be censored because of PII....

July 3, 2020 · 5 min · fadhilthomas

[Writeup][Bug Bounty][Instagram] Instagram Still Send New DMs and Video Calls to Device After Logout [ID][EN]

Setelah pengguna melakukan logout akunnya, session seharusnya di invalidate untuk menghentikan aksi yang membutuhkan otentikasi seperti menerima notifikasi pesan yang masuk. Pada postingan ini membahas tentang Instagram yang menampilkan notifikasi pesan masuk walaupun pengguna telah mengakhiri session akunnya. After the user logs out of his account, the session should be invalidated to stop actions that require authentication such as receiving notifications of incoming messages. This post is about Instagram, which shows incoming message notifications even though the user has ended his account session....

April 16, 2020 · 2 min · fadhilthomas

[Writeup][Bug Bounty][Tokopedia] Information Disclosure of Sensitive Information pada Verification Login Page [ID]

Setelah melakukan login, kita akan dialihkan ke halaman verifikasi dengan dua opsi yaitu SMS dan Telepon. Nomor telepon yang digunakan untuk mengirimkan kode verifikasi tidak diperlihatkan seluruhnya untuk alasan keamanan. Akan tetapi informasi pengguna tersimpan di dalam Cookie dan hanya dilakukan URL-encoding. Affected Endpoint https://accounts.tokopedia.com/otp/c/page Impact Apabila kredential pengguna bocor dan seseorang mencoba untuk melakukan login, walaupun dia belum melewati halaman verifikasi tetapi dia sudah bisa mendapatkan informasi sensitif pengguna seperti nama, nomor telepon, email, tanggal pendaftaran dan ulang tahun yang dapat digunakan untuk melakukan phishing untuk mencuri kode verifikasi....

January 15, 2020 · 1 min · fadhilthomas

[Writeup][Bug Bounty][Redacted] No Rate Limit in Forgot Password [ID]

No Rate Limit adalah sebuah kondisi di mana sebuah aplikasi tidak memiliki pembatasan terhadap request yang sama. Jadi seseorang dapat mengirimkan request sama yang berulang-ulang. Affected Endpoint https://[redacted]/api/internal/auth/reset_password_email Impact Karena service yang tidak memiliki rate limit berhubungan dengan layanan email, maka seseorang dapat membuat service ini mengirimkan email reset password secara masif. Hal ini dapat membuat reputasi pengirim email menjadi buruk dan dinilai sebagai spammer oleh Email Provider seperti Gmail....

November 15, 2019 · 1 min · fadhilthomas

[Writeup][Bug Bounty][Tokopedia] Manipulation of Likes in Product Reviews [EN]

Before starting, IDOR is Insecure Direct Object Reference, hereinafter referred to as IDOR, is a condition in which users can access an object without passing the access rights check. (OWASP, 2019) With IDOR, a user can access, change, and delete data. This makes IDOR a very dangerous security hole. Please note, the bug discussed in this writeup has been patched by Tokopedia and screenshots will be censored because of PII....

November 15, 2019 · 2 min · fadhilthomas

[Writeup][Bug Bounty][Tokopedia] Manipulasi Jumlah Likes di Ulasan Produk [ID]

Sebelum mulai ke pembahasan, pertama kita bahas dulu apa itu IDOR. Insecure Direct Object Reference yang selanjutnya disebut IDOR adalah suatu kondisi di mana pengguna dapat mengakses suatu objek tanpa melewati pemeriksaan hak akses. (OWASP, 2019) Dengan celah IDOR, seorang pengguna dapat melakukan pengaksesan, pengubahan, serta penghapusan suatu data. Hal ini membuat IDOR termasuk celah keamanan yang sangat berbahaya. Baiklah, setelah mengetahui apa itu IDOR, kita lanjut ke pembahasan mengenai bug ini....

June 23, 2019 · 2 min · fadhilthomas