draxploit.web.id, serang - Di tengah berdiri nya banyak website tentu kita tak asing lagi dengan kata "hack" atau "hacker" biasanya hacker atau attacker dengan keahlian khusus nya, ia dengan mudah bisa merubah tampilan website, tentu dengan merubah tampilan pada web atau meretas web tidaklah mudah, dengan kita mencari di mana letak celah nya di situ kita bisa mengotak atik web, dan tentu tergantung seberapa kritis nya celah atau bug tersebut.
(gam1)
Kali ini bang Ridho akan membagikan, bagaimana cara kita menemukan bug broken Authentication.
Kerentanan dalam otentikasi atau manajemen sesi dapat muncul dalam beberapa cara. Ini bisa menjadi celah atau bug dalam logika otentikasi, alur pengaturan ulang kata sandi, atau validasi kunci SSH. Kerentanan di salah satu komponen ini dapat berdampak beragam, dari membantu dalam serangan manipulasi psikologis hingga penyusupan akun pengguna sepenuhnya.
Bug Otentikasi Rusak atau Broken Authentication dapat kita jumpai di bagian form login, lebih tepatnya di bagian Reset Password, baca dan simak tulisan berikut ini
1) Tentukan Target
Jadi, karna saya sudah menyiapkan target nya kali ini, kita langsung saja ke poin ke 2
2) Temukan Form Resset Password
Form Resset Password ini, bisa kita dapatkan di form login, dan untuk menyeting ulang password tentu harus login atau registrasi email kamu terlebih dahulu.
(gam1)
3) Salin URL
Setelah kamu meng klik Resset Password, silahkan cek inbox Gmail kamu, dan kamu akan mendapatkan link yang akan kamu pastekan di peramban dan akan merdirect perangkat kamu ke web itu kembali(gam2), loh kok kembali ke web lagi??, Saat kamu mengklik link itu(gam2) maka di saat itu lah system akan mengirimkan kode berupa sandi email kamu.
(gam2)
4) Dapatkan Sandi
Setelah kamu berhasil mereset password, kamu akan mendapatkan sandi nya (gam3)
(gam3)
(Password: PgA4P2MR)
5) Mengulangi
Lakukan langkah-langkah tadi sebanyak 2 kali(saja gk usah banyak-banyak), dan di situ kita akan mengetahui jawabannya
PENJELASAN
Pasti kalian bertanya-tanya, lah trs Gimana cara menyimpulkan bahwa web tersebut vulnerability terhadap bug Broken Authentication??
Jadi begini, web yang normal akan mengekspiredkan, atau mengakhiri batas dari barlakunya link Resset Password, dan juga web yang normal tidak akan mengganti ulang password atau kata sandi yang telah kita dapatkan dari Resset Password, bisa dilihat (di gambar 3) bahwa saya mendapat Password dengan karakter huruf berikut Password: PgA4P2MR dan website yang normal tidak merubah password itu walaupun kita mengklik button reset password (gam1) sebanyak 2 kali atau berapapun, web yg normal tidak merubah kode itu.
Tapii web yang vuln akan berlawanan seperti yang sudah saya jelaskan tadi, web yang vuln akan memberlakukan link Resset Password tadi(gam2) secara terus-menerus, dan juga akan mengganti ulang password yang sudah kita dapatkan tadi(gam3).
PENUTUP
Jadi sekian artikel yang sudah saya buat sesingkat dan sejelas-jelasnya, jika ada kesalahan dalam penulisan mohon di maklumi & di maafkan, buat yang belum paham silahkan baca berulang-ulang, atau bisa cari referensi lain.
Salam Hangat
Ridho.
