Bug Bounty pada nexsoft.co.id : Email Spoofing

Minggu, 23 Februari 2020

Bug Bounty pada nexsoft.co.id : Email Spoofing

in published on Februari 23, 2020 leave a reply
Bug Bounty pada nexsoft.co.id : Email Spoofing - Assalamualaikum, Halo everyone apa kabar? semoga kabar kalian baik yah aamiin. Pagi yang cerah ini gwe mau buat writeup penemuan bug email spoofing pada nexsoft, disini kita gak akan membahas apa itu nexsoft yang kita bahas sekarang adalah bagaimana gwe menemukan bug email spoofing pada nexsoft dan bug ini sudah gwe temukan dua minggu yang lalu, dikarenakan saya sibuk dengan try out, so gwe buat artikel ini saat waktu luang.

Dua minggu yang lalu gwe juga sempet baca writeup dari Nakanosec dan Blogpongo jadi gwe mau scope web nexsoft bukan karna gwe mau ndapetin apa" tapi gwe scope situs yang besar.

Jujur saja gwe males untuk membuat writeup ini sebab gwe takut kalau kalian spam email dengan memanfaatkan bug email spoofing pada nexsoft soalnya sampai hari ini juga bug tersebut belum di fix apa karna gwe kurang gans jadi di abaikan oleh pihak nexsoft. sebelum ke writeupnya kalian harus tau terlebih dahulu apa itu email spoofing.

Apa itu Email Spoofing?

email spoofing sendiri dapat dikatakan dengan "Server Security Misconfiguration, Mail Server Misconfiguration, No Spoofing Protection on Email Domain" dimana terdapat pada SPF(Sender Policy Framework) records yang missing.

Apa sih SPF?

dikutip dari domainesia.com, SPF adalah singkatan dari Sender policy Framework. Dikutip dari openspf.org, SPF adalah metode untuk mencegah pemalsuan alamat pengirim email. SPF tidak akan menghentikan spam, namun SPF akan melakukan kontrol dan menghentikan pemalsuan pengirim email.So kalau kalian menambahkan records SPF tersebut fungsinnya untuk mencegah spammer untuk memalsukan pesan email yang mengaku berasal dari domain kalian.

Baca Juga : Objek Wisata Indonesia

Impact dari Email Spoofing?

Email spoofing terhadap victim ( korban ) Dapat melakukan manipulasi email dengan menyamar sebagai domain tertentu dan dikirimkan kepada victim ( korban ).

Cara Melakukkan Email spoofing?

1.Check in https://www.kitterman.com/spf/validate.html
2.Go https://emkei.cz/?reCAPTCHAv2
3.Set email from with official domain : [email protected]
4.Send to victim
5.Email will sending to victim and not spam

Kalau kalian ingin scan menggunakan tools  checker email spoofing apakah vuln terhadap email spoofing atau tidak, kalian bisa clone repo tools berikut

git clone https://github.com/Adelittle/SPF_Mass_Scan 

cd SPF_Mass_Scan 

bash little.sh

Sebelum itu kalian harus buat list.txt domain yang ingin kalian check, Setelah itu kalian pindahkan list.txt di dir SPF_Mass_Scan bisa melalui cli atau gak langsung taruh di dir SPF_Mass_Scan

1.Buka situs mailer dari https://emkei.cz/
2. Saya isi semua field yang ada pada form, from email saya isikan dengan email resmi nexsoft dan victim / reply to email saya
3. Kenapa saya report bug ini, dikarenakan pesan yang masuk, masuk di email utama yang artinya tidak masuk ke spam
4. Dan saya pun report ke cs nya melalui email dan melalui wa,walaupun gak dapet bounty ya sudahlah gpp rejeki dah diatur mungkin karna gak dianggep bug. Gwe lucu yak judul postingan bug bounty tpi gak dapet bounty



Itulah writeup dari gwe tentang Email spoofing pada nexsoft.co.id semoga writeup ini bermanfaat, Gwe suka maen eksploit2 kek gini klo kalian mau coba silahakan ke situs lain.

Timeline Report:
  • 30 Januari 00.00 WIB(penemuan bug)
  • 30 januari 00.16 WIB(Report )
  • 31Januari 08.00 WIB(Pengecekan oleh tim nexsoft)
Referensi :
https://hackerone.com/reports/575


Baca Juga : Oppo Find X2, Inilah Bocoran Harga dan Spesifikasi Lengkapnya
Previous Post
Next Post
Rasyid

post written by:

0 komentar: