Writeup Secret Note Keeper (xs-leaks) Facebook CTF 2019

Writeup Secret Note Keeper (xs-leaks) Facebook CTF 2019 English Were given a website that was able to create note, report note and have a function to search note, the search note function will return each note using an iframe tag,...

Writeup Hackerone 50M CTF H1 702

Writeup Hackerone 50m CTF First stage of this ctf we need to solve an hidden file from an image which posted by HackerOne at twitter https://twitter.com/hacker0x01/status/1100543680383832065?lang=en. I tried to run bunch of steganography tools and i found something with zteg...

Arkavidia 5: Fancafe Loona

Fancafe Loona - Web Diberikan website menggunakan go yang mempunyai fitur untuk mencari post dan melihat detail dari post, dengan route sebagai berikut. Kita juga diberikan akses terhadap source codenya yang bisa digunakan untuk memudahkan kita menemukan entrypoint eksploitasi pada...

How I Hack Tokopedia (3rd server) with Object de-Serialization

Apa itu RCE? RCE (Remote Command Injection) adalah kelemahan dimana attacker dapat memerintah sistem untuk menjalankan kode yang dinginkan, Tipe attack seperti ini biasanya karena kurangnya validasi terhadap data yang bisa dikendalikan oleh user. Apa Dampaknya ? Attacker dapat menjalankan...

Improper Access Control & XSS on seller.tokopedia.com

Vulnerable Endpoint : http://api-id.codemi.co.id/api/v1/post/update/<COMMENTID> Kelemahan yang ditemukan adalah saya menemukan cara untuk membuat post pada seller.tokopedia.com yang seharusnya hanya bisa dilakukan oleh member yang memiliki role “administrator” atau “moderator” namun saya dengan akun role “learner” dapat membuat post layaknya admin...