Dua minggu yang lalu gwe juga sempet baca writeup dari Nakanosec dan Blogpongo jadi gwe mau scope web nexsoft bukan karna gwe mau ndapetin apa" tapi gwe scope situs yang besar.
Jujur saja gwe males untuk membuat writeup ini sebab gwe takut kalau kalian spam email dengan memanfaatkan bug email spoofing pada nexsoft soalnya sampai hari ini juga bug tersebut belum di fix apa karna gwe kurang gans jadi di abaikan oleh pihak nexsoft. sebelum ke writeupnya kalian harus tau terlebih dahulu apa itu email spoofing.
Apa itu Email Spoofing?
email spoofing sendiri dapat dikatakan dengan "Server Security Misconfiguration, Mail Server Misconfiguration, No Spoofing Protection on Email Domain" dimana terdapat pada SPF(Sender Policy Framework) records yang missing.Apa sih SPF?
dikutip dari domainesia.com, SPF adalah singkatan dari Sender policy Framework. Dikutip dari openspf.org, SPF adalah metode untuk mencegah pemalsuan alamat pengirim email. SPF tidak akan menghentikan spam, namun SPF akan melakukan kontrol dan menghentikan pemalsuan pengirim email.So kalau kalian menambahkan records SPF tersebut fungsinnya untuk mencegah spammer untuk memalsukan pesan email yang mengaku berasal dari domain kalian.Baca Juga : Objek Wisata Indonesia
Impact dari Email Spoofing?
Email spoofing terhadap victim ( korban ) Dapat melakukan manipulasi email dengan menyamar sebagai domain tertentu dan dikirimkan kepada victim ( korban ).Cara Melakukkan Email spoofing?
1.Check in https://www.kitterman.com/spf/validate.html2.Go https://emkei.cz/?reCAPTCHAv2
3.Set email from with official domain : [email protected]
4.Send to victim
5.Email will sending to victim and not spam
Kalau kalian ingin scan menggunakan tools checker email spoofing apakah vuln terhadap email spoofing atau tidak, kalian bisa clone repo tools berikut
git clone https://github.com/Adelittle/SPF_Mass_Scan
cd SPF_Mass_Scan
bash little.sh
Sebelum itu kalian harus buat list.txt domain yang ingin kalian check, Setelah itu kalian pindahkan list.txt di dir SPF_Mass_Scan bisa melalui cli atau gak langsung taruh di dir SPF_Mass_Scan
1.Buka situs mailer dari https://emkei.cz/
2. Saya isi semua field yang ada pada form, from email saya isikan dengan email resmi nexsoft dan victim / reply to email saya
3. Kenapa saya report bug ini, dikarenakan pesan yang masuk, masuk di email utama yang artinya tidak masuk ke spam
4. Dan saya pun report ke cs nya melalui email dan melalui wa,walaupun gak dapet bounty ya sudahlah gpp rejeki dah diatur mungkin karna gak dianggep bug. Gwe lucu yak judul postingan bug bounty tpi gak dapet bounty
Itulah writeup dari gwe tentang Email spoofing pada nexsoft.co.id semoga writeup ini bermanfaat, Gwe suka maen eksploit2 kek gini klo kalian mau coba silahakan ke situs lain.
Timeline Report:
- 30 Januari 00.00 WIB(penemuan bug)
- 30 januari 00.16 WIB(Report )
- 31Januari 08.00 WIB(Pengecekan oleh tim nexsoft)
https://hackerone.com/reports/575
Baca Juga : Oppo Find X2, Inilah Bocoran Harga dan Spesifikasi Lengkapnya
0 komentar: