Celah Aplikasi NET Connect

by kripul / Senin, 17 Oktober 2016 / Posted in
Disclaimer : Kami tidak bertanggung jawab atas penyalahgunaan informasi pada postingan ini!

Iseng gara-gara adek terus-terusan nonton NET. TV agar bisa jawab pertanyaan kuis di aplikasi NET Connect, akhirnya coba sniffing aplikasi ini.

Pertama yang saya lakukan adalah mencoba scan dengan Wireshark, dan berikut hasilnya bisa kita lihat, API dari aplikasi ini unsecure! kita dengan mudah bisa membaca data apa saja yang di kirim ke API tersebut dan sebaliknya, kita bisa melihat data apa saja yang dikirim ke HP kita!

API login

Untuk melihat profile pengguna


Kita bisa mengganti password tanpa harus tahu password pengguna, cukup user id saja!


Mengganti profile

Dan masih banyak lagi akses API yang bisa kita lihat

Lucunya lagi adalah penggunaan auth basicnya! YWRtaW46MTIzNA== (tahu kan itu diencode pake apa? :p)

Sebenernya aplikasi ini cukup aman dari penggunaan token (bisa kita generate), autentifikasi link API (meskipun cuman pake YWRtaW46MTIzNA==) semuanya enggak ada gunanya kalau koneksinya sendiri unsecure.

Saya sendiri jadi bertanya-tanya, apa pihak developer sengaja memberikan celah? you know lah kan lumayan kalau dapet iphone.





UPDATE 18/10/2016
Pihak developer membalas email

Mencoba NAT VPS, VPS Dengan Shared IPv4

by kripul / Minggu, 06 Maret 2016 / Posted in ,


Beberapa hari ini saya menggunakan provider XL untuk koneksi internet, speed internetnya lumayan tapi kalau digunakan untuk browsing ke situs tertentu sering loading doang, kadang malah lama dan enggak kebuka, cara mengakalinya paling simple menurut saya ya pakai VPN, cuman semua VPS saya lokasinya di US, tentu malah bikin lemot kalo digunakan sebagai VPN, setelah cari di lowendbox ternyata ada provider VPS yang menyediakan VPS NAT berlokasi di Singapura dengan harga murah! ya, harganya $3.5/tahun!

Baca selengkapnya »

Mencoba SSL Gratis Dari Let's Encrypt

by kripul / Kamis, 04 Februari 2016 / Posted in , ,


Let's Encrypt adalah certificate authority yang memberikan SSLnya secara gratis tapi masih dalam beta test sehingga SSLnya cuman aktif 90 hari saja.

Bukan cuman gratis, Let's Encrypt juga memberikan kemudahan buat settingnya karena ada installernya.

Langsung aja kita coba, tes kali ini di VPS ber-OS Debian dan web servernya Apache2
Baca selengkapnya »

Jika Engkau .....

by kripul / Jumat, 28 November 2014 / Posted in


Seorang murid bertanya kepada ustadznya, Apakah amalan yang terbaik bagi kehidupan kami?

Beliau pun menjawab :
Baca selengkapnya »

Kisah 4 Sekawan Pencari Hadits

by kripul / Sabtu, 06 September 2014 / Posted in ,




Dalam suatu rihlah mencari hadits, berkumpullah empat imam hadits pada masanya yaitu Muhammad bin Jarir Ath-Thabari, Muhammad bin Ishaq bin Khuzaimah, Muhammad bin Nashr Al-Marwazi dan Muhammad bin Harun Ar-Ruyani dalam satu rombongan.
Baca selengkapnya »
Rss: Top
 
Copyright © 2014 @Kripul_, All rights reserved
Design by Ipoel. Powered by Blogger