Halo teman-teman sudah lama rasa nya saya tidak membagikan/menulis artikel di blog medium ini, tulisan terakhir saya Information Gathering With Yaazhini yang bisa teman-teman baca disini.

Kali ini saya akan share cara bypass Etag If-None-Match, tapi sebelum ke pembahan saya ingin menerangkan terlebih dahulu apa itu Etag atau If-None-Match.

Apa itu Etag atau If-None-Match

HTTP If-None-Match adalah kondisi permintaan http. Untuk metode GET dan HEAD, server akan mengirim kembali sumber daya yang diminta, dengan status 200, tapi jika ETag tidak cocok dengan yang diberikan, permintaan hanya akan diproses hanya jika ETag sumber daya yang pada akhirnya ada tidak cocok dengan nilai apa pun yang tercantum.

…

Hai teman-teman semua 👋

Kali ini saya ingin sharing ke teman-teman semua tentang aplikasi Yaazhini APK/API Vulnerability Scanner (Window). Ini adalah salah satu tools yang paling sering saya pakai untuk melakukan information gathering terutama untuk mengumpulkan API yang di pakai/hit oleh sebuah aplikasi android.

System Requirements :

Operating Systems : Mac OSX(64bit), Windows (64bit & 32bit)

RAM : Minimum Usage 4GB of available memory. 16GB required for larger Android Apps Storage 10GB of available disk space

Dependancy Software : Java 1.8+

• Scan Android APK by just one click
• Scan Android Application REST API (emulator, device)
• Generate report
• Free to use
• …

Halo teman-teman semua, kali ini saya akan sharing tentang cara menggunakan Burp Suite dan Cara Setting nya, Tapi sebelum masuk ke materi saya jelaskan sedikit tentang apa itu Burp Suite dan Fitur apa saja didalam nya.

Apa itu Burp Suite?

Burp Suite adalah salah satu tools yang sering/banyak digunakan dalam melakukan kegiatan penetrasi testing pada website dan mobile apps. Kebanyakan orang termasuk saya menggunakan burp suite untuk meng-capture packet data yang dikirim (request) atau diterima (response) oleh sebuah aplikasi atau website. Namun tidak hanya untuk meng-capture sebuah packet, di dalam tools burp suite ini ada juga fitur seperti :

Scanner automation scan vulnerability pada…

Bug kali ini yang saya temukan di salah satu e-commerce indonesia adalah “Bug Content Spoofing Lead to SMS Social Engineering”. Mungkin domain, endpoint, dan gambar akan saya sensor karna saya belum memiliki ijin untuk mempublikasikan nya, Kenapa tidak meminta ijin bang? sayangnya email saya tentang ijin untuk membuat writeup sudah sekitar 9 bulan tidak di balas dan nama saya pun belum masuk dalam wall of fame mereka…. 😢

Oke sekilas tentang bug yang saya temukan, jadi saya bisa mengirimkan pesan SMS apa saja dengan menggunakan no dan mengatasnamakan e-commerce tsb, menarik bukan? …

Disclaimer: Tulisan ini adalah opini dan hasil analisis saya sendiri dari beberapa sumber yang sesuai dengan pengalaman pribadi, mungkin saja ada perbedaan pandangan dan pengalaman pembaca.

Halo teman teman semua, kali ini saya ingin sharing ke teman teman semua agar terhindar dari ancaman phising (email spoofing) di tengah pandemi covid19 ini. Loh emang kenapa? di pandemik covid19 ini banyak orang orang yang di keluarkan dari perusahaan nya entah karna di PHK, atau perusahaan nya sedang goyang (tidak stabil) karna itu pasti banyak juga orang yang sedang mencari pekerjaan.

Beberapa hari lalu saya sering melihat postingan di linkedin tentang penipuan bermoduskan…

Disclaimer: Tulisan ini adalah opini dan hasil analisis saya sendiri dari beberapa sumber yang sesuai dengan pengalaman pribadi, mungkin saja ada perbedaan pandangan dan pengalaman pembaca.

Halo teman - teman semua 😊 semoga sehat selalu ya dan pandemi covid-19 ini semoga cepat berakhir, kali ini saya ingin membagikan tips untuk teman teman developer ataupun pentester tentang penting nya menambahkan validasi di backend.

Kebanyakan kasus yang saya temui para teman teman developer ini hanya menambahkan validasi di sisi frontend nya saja,

Halo teman teman semua, kali ini saya ingin membagi tutorial belajar android penetration testing dengan cara bypass SSL Pinning with Frida.js, sebenar nya sudah banyak artikel yang membahas/membagi tutorial yang sama seperti ini namun kebanyakan berbahasa inggris, dan disini saya akan coba membuatnya dengan bahasa indonesia dan mudah dipahami.

Apa itu SSL/Cert Pinning?

SSL/Cert Pinning sederhananya ialah suatu cara agar sebuah aplikasi bisa memastikan bahwa koneksi SSL/TLS dilakukan terhadap server yang seharusnya.

Apa itu Frida?

di website resminya frida adalah “Dynamic instrumentation toolkit for developers, reverse-engineers, and security researchers.” dengan kata lain temen-temen bisa menggunakan frida script untuk menyuntikkan sebuah kode-kode JavaScript kedalam sebuah aplikasi.

Tools yang harus di siapkan :

• Python 2.7
• …

Halo teman teman semua, bagaimana kabar kalian semua? saya harap selalu sehat ya, apalagi di situasi pandemi covid-19 ini, oke kali ini saya ingin membahas dan ingin mengajak teman teman semua berkenalan dengan “Top 10 Vulnerability by OWASP” Tapi sebelum masuk ke topik mungkin disini ada teman teman yang masih belum tau apa itu OWASP?

Apa itu OWASP?

Owasp atau Open Web Application Security Project adalah sebuah organisasi yang berfokus pada keamanan web application, ada 5 dokumentasi tentang keamanan website yang di buat OWASP diantaranya :

• OWASP Developer Guide
• OWASP Application Security Verification Standard (ASVS)
• Security Knowledge Framework
• Developer Cheat Sheet Series
• OWASP…