Halo semuanya, di artikel kali ini saya ingin membagikan sedikit tips untuk Pengamanan URL Public Elastic menggunakan Traffic Filter,

Apa itu Traffic Filter?

Traffic Filter adalah salah satu layer security yang tersedia di Layanan Elasticsearch. Ini memungkinkan pengguna untuk membatasi akses ke halaman elastic pengguna.

Layanan Elasticsearch yang mendukung Traffic Filter:

• IP addresses dan Classless Inter-Domain Routing (CIDR), e.g. 82.102.25.74 dan 199.226.244.0/24.
• AWS Virtual Private Clouds (VPCs) lewat AWS PrivateLink.

Bagaimana cara kerjanya?

Secara default, semua endpoin yang di generate elastic dapat diakses melalui Internet Public. …

Memperkenalkan NUCLEI tools open source untuk para security enthusiast, tools ini bisa kalian gunakan sebagai kerangka kerja atau pun alat bantu untuk melakukan security penetration testing, tools ini adalah salah satu project yang di buat oleh ProjectDiscovery.io, yang mana di dalam perusahaan tersebut terdiri dari orang-orang yang tertarik pada design, security, art, dan synthwave.

Saya pribadi menggunakan tools ini untuk kerangka kerja di tempat saya, seperti melakukan Security regression test, dan penetration test.

Tools ini juga sudah bisa di integrasikan melalui CI/CD dan otomatis membuat tiket di jira bila menemukan sebuah kerentanan, ini sangat membantu untuk kalian yang mempunyai asset…

Halo teman-teman sudah lama rasa nya saya tidak membagikan/menulis artikel di blog medium ini, tulisan terakhir saya Information Gathering With Yaazhini yang bisa teman-teman baca disini.

Kali ini saya akan share cara bypass Etag If-None-Match, tapi sebelum ke pembahan saya ingin menerangkan terlebih dahulu apa itu Etag atau If-None-Match.

Apa itu Etag atau If-None-Match

HTTP If-None-Match adalah kondisi permintaan http. Untuk metode GET dan HEAD, server akan mengirim kembali sumber daya yang diminta, dengan status 200, tapi jika ETag tidak cocok dengan yang diberikan, permintaan hanya akan diproses hanya jika ETag sumber daya yang pada akhirnya ada tidak cocok dengan nilai apa pun yang tercantum.

…

Hai teman-teman semua 👋

Kali ini saya ingin sharing ke teman-teman semua tentang aplikasi Yaazhini APK/API Vulnerability Scanner (Window). Ini adalah salah satu tools yang paling sering saya pakai untuk melakukan information gathering terutama untuk mengumpulkan API yang di pakai/hit oleh sebuah aplikasi android.

System Requirements :

Operating Systems : Mac OSX(64bit), Windows (64bit & 32bit)

RAM : Minimum Usage 4GB of available memory. 16GB required for larger Android Apps Storage 10GB of available disk space

Dependancy Software : Java 1.8+

• Scan Android APK by just one click
• Scan Android Application REST API (emulator, device)
• Generate report
• Free to use
• …

Halo teman-teman semua, kali ini saya akan sharing tentang cara menggunakan Burp Suite dan Cara Setting nya, Tapi sebelum masuk ke materi saya jelaskan sedikit tentang apa itu Burp Suite dan Fitur apa saja didalam nya.

Apa itu Burp Suite?

Burp Suite adalah salah satu tools yang sering/banyak digunakan dalam melakukan kegiatan penetrasi testing pada website dan mobile apps. Kebanyakan orang termasuk saya menggunakan burp suite untuk meng-capture packet data yang dikirim (request) atau diterima (response) oleh sebuah aplikasi atau website. Namun tidak hanya untuk meng-capture sebuah packet, di dalam tools burp suite ini ada juga fitur seperti :

Scanner automation scan vulnerability pada…

Bug kali ini yang saya temukan di salah satu e-commerce indonesia adalah “Bug Content Spoofing Lead to SMS Social Engineering”. Mungkin domain, endpoint, dan gambar akan saya sensor karna saya belum memiliki ijin untuk mempublikasikan nya, Kenapa tidak meminta ijin bang? sayangnya email saya tentang ijin untuk membuat writeup sudah sekitar 9 bulan tidak di balas dan nama saya pun belum masuk dalam wall of fame mereka…. 😢

Oke sekilas tentang bug yang saya temukan, jadi saya bisa mengirimkan pesan SMS apa saja dengan menggunakan no dan mengatasnamakan e-commerce tsb, menarik bukan? …

Disclaimer: Tulisan ini adalah opini dan hasil analisis saya sendiri dari beberapa sumber yang sesuai dengan pengalaman pribadi, mungkin saja ada perbedaan pandangan dan pengalaman pembaca.

Halo teman teman semua, kali ini saya ingin sharing ke teman teman semua agar terhindar dari ancaman phising (email spoofing) di tengah pandemi covid19 ini. Loh emang kenapa? di pandemik covid19 ini banyak orang orang yang di keluarkan dari perusahaan nya entah karna di PHK, atau perusahaan nya sedang goyang (tidak stabil) karna itu pasti banyak juga orang yang sedang mencari pekerjaan.

Beberapa hari lalu saya sering melihat postingan di linkedin tentang penipuan bermoduskan…

Disclaimer: Tulisan ini adalah opini dan hasil analisis saya sendiri dari beberapa sumber yang sesuai dengan pengalaman pribadi, mungkin saja ada perbedaan pandangan dan pengalaman pembaca.

Halo teman - teman semua 😊 semoga sehat selalu ya dan pandemi covid-19 ini semoga cepat berakhir, kali ini saya ingin membagikan tips untuk teman teman developer ataupun pentester tentang penting nya menambahkan validasi di backend.

Kebanyakan kasus yang saya temui para teman teman developer ini hanya menambahkan validasi di sisi frontend nya saja,