Portswigger - Exploiting a mass assignment vulnerability

Tampilan awal lab
Sumber: Dokumentasi Penulis

Analis Purwakarta - Analis Admin. Pada kesempatan ini penulis akan membagikan cara menyelesaikan lab  Portswigger yang berjudul Exploiting a mass assignment vulnerability. Lab ini bertujuan untuk merubah nilai parameter yang tersembunyi yang diakibatkan oleh Mass Assignment.

Langkah pertama ialah masuk menggunakan akun default yang disediakan oleh Portswigger, kemudian jalankan proxy yang sudah siapkan. Setelah itu kita jalankan proses intersepsi, dan pilih produk jaket yang berjudul Lightweight "l33t" Leather Jacket. Pada proses intersepi, penulis menemukan sebuah HTTP Request bermetode GET dengan path /api/checkout, kirim HTTP Request tersebut ke bagian Replay atau Repeater bila pembaca menggunakan Burp Suite proxy.


HTTP API Request yang telah berhasil di intersep
Sumber: Dokumentasi Penulis 


Untuk menguji kerentanan, penulis akan merubah HTTP method dan merubah nilai dari parameter percentage menjadi 100 pada HTTP Body. HTTP Response menunjukan bahwa lab ini memiliki kerentanan Mass Assignment Vulnerability. Pada dunia nyata peretas akan memanfaatkan parameter tersembunyi untuk memanipulasi nilainya untuk kepentingan mereka.


HTTP Request yang sudah dimodifikasi
Sumber: Dokumentasi Penulis

Komentar

Posting Komentar

Postingan populer dari blog ini

Depo Lokomotif Stasiun Kereta Api Purwakarta Dari Masa ke Masa

Gambar
Stasiun Purwakarta Sumber:  Heritage KAI Analis Purwakarta -- Sudah menjadi khalayak umum dimana perpindahan penduduk di suatu daerah tidak lepas dari peranan sarana transportasi untuk mengakomodir penduduk berpindah dari suatu daerah ke daerah lainnya. Pada masa modern sekarang, terdapat banyak jenis dan opsi untuk menggunakan layanan transportasi, baik itu menggunakan transportasi secara individu seperti mobil/motor pribadi ataupun menggunakan sarana transportasi publik baik untuk matra darat, laut, ataupun udara. Salah satu transportasi publik yang berasal dari matra darat adalah kereta api. kereta api merupakan wahana transportasi darat yang berjalan diatas rel, dengan hulu wahana yang disebut dengan lokomotif, dan gerbong sebagai wahana pengangkutan. Kereta api memiliki fungsi tidak hanya untuk mengangkut penumpang saja, melainkan dapat digunakan sebagai pengantar barang yang berisi komoditas tertentu yang nantinya dapat diperjual-belikan, seperti batu bara, pasir, dan lain s...
Read more »

Pesona Curug Suhada di Kecamatan Sukatani Kabupaten Purwakarta

Gambar
Curug Suhada Sumber: Catur Prihatiningsih via Google Map Analis Purwakarta --  Keindahan bumi Parahyangan di Indonesia ini memang tidak pernah habis jika kita membahasnya. Keindahan keindahan tersebut membentang dari ujung Provinsi Banten hingga Kabupaten Cirebon, tentu keindahan ini harus dapat kita syukuri dengan cara menjaganya dan memanfaatkannya secara keberlanjutan.   Kabupaten Purwakarta, sebagai salah satu bagian dari bumi Parahyangan juga memiliki banyak sekali keindahan alam. Sebagai contoh kita mengenal dan mengetahui waduk buatan Jatiluhur yang memberikan manfaat bagi petani sekitar, selain itu terdapat juga waduk Wanayasa yang merupakan sumber air bagi penduduk sekitar. Kecamatan Sukatani yang terletak di Kabupaten Purwakarta juga memiliki beragam potensi wisata, salah satunya adalah Curug Suhada/Air terjun Suhada. Curug Suhada  berlokasi di Kampung Tajur, Desa Sindanglaya, Kecamatan Sukatani. Curug Suhada merupakan wisata alam berupa kawasan wisata air ...
Read more »

PICO CTF Web Exploitation 2024 WebDecode Challenge

Gambar
  Analis Purwakarta - Analis Purwakarta.  Pada kesempatan kali ini penulis akan membagikan sebuah catatan mengenai tantangan Capture The Flag (CTF) dari website picoCTF tahun 2024. WebDecode challenge merupakan bagian dari serial tantangan  Web Exploitation untuk menemukan sebuah bendera atau kita kenal sebagai flag. Untuk menemukan flag tersebut kita disuguhkan sebuah tampilan situs statis yang memuat tiga halaman, yakni Home, About, dan Contact . Untuk mendapatkan bendera tersebut kita hanya perlu menginspeksi setiap halaman situs menggunakan Web Console pada setiap halaman situs. Tampilan Awal Situs WebDecode Nilai Bendera pada tantangan WebDecode tidak ditunjukan langsung begitu saja, melainkan kita perlu mendekripsikan nilai dari bendera tersebut. Kita bisa menggunakan  Cyberchef  untuk melakukan proses dekripsi. Enkripsi yang digunakan pada bendera tersebut adalah Base64. Tampilan awal situs Cyberchef Bila kita sudah selesai melakukan proses dekripsi maka...
Read more »