https://devops4me.medium.com/?source=post_page-----c279249c6100--------------------------------

Berikut ada beberapa poin yang sudah saya rangkum tentang “Kesalahan umum dalam Organisasi terkait Security dan Compliance” dari sumber artikel berjudul “Why Security Engineer Need “Shift-Left” to DevSecOps?” yang di tulis oleh Najib Radzuan

Artikel ini cocok untuk teman-teman security engineer di luar sana yang tertarik untuk berpindahan dari role Security Engineer ke DevSecOps, dan beberapa poin dibawah ini menurut saya memang sering terjadi pada organisasi/perusahaan.

1. Company:

  • Mengandalkan antivirus sebagai satu lapisan keamanan.
  • Gagal mengenkripsi data sensitif yang merupakan sasaran empuk bagi penyerang.

B. Kurangnya Kebijakan Keamanan Siber:

  • Penjahat dunia maya tidak hanya menargetkan perusahaan di sektor keuangan atau teknologi. …

https://companies.naukri.com/rms-careers/wp-content/uploads/sites/21747/2017/09/Cloud-Computing.png

Halo semuanya, di artikel kali ini saya ingin membagikan sedikit tips untuk Pengamanan URL Public Elastic menggunakan Traffic Filter,

Traffic Filter adalah salah satu layer security yang tersedia di Layanan Elasticsearch. Ini memungkinkan pengguna untuk membatasi akses ke halaman elastic pengguna.

Layanan Elasticsearch yang mendukung Traffic Filter:

  • IP addresses dan Classless Inter-Domain Routing (CIDR), e.g. 82.102.25.74 dan 199.226.244.0/24.
  • AWS Virtual Private Clouds (VPCs) lewat AWS PrivateLink.

Secara default, semua endpoin yang di generate elastic dapat diakses melalui Internet Public. …


https://raw.githubusercontent.com/projectdiscovery/nuclei/master/static/regression-with-nuclei.jpg

Memperkenalkan NUCLEI tools open source untuk para security enthusiast, tools ini bisa kalian gunakan sebagai kerangka kerja atau pun alat bantu untuk melakukan security penetration testing, tools ini adalah salah satu project yang di buat oleh ProjectDiscovery.io, yang mana di dalam perusahaan tersebut terdiri dari orang-orang yang tertarik pada design, security, art, dan synthwave.

Saya pribadi menggunakan tools ini untuk kerangka kerja di tempat saya, seperti melakukan Security regression test, dan penetration test.

Tools ini juga sudah bisa di integrasikan melalui CI/CD dan otomatis membuat tiket di jira bila menemukan sebuah kerentanan, ini sangat membantu untuk kalian yang mempunyai asset…


https://book.varnish-software.com/4.0/_images/httpifnonematch.png

Halo teman-teman sudah lama rasa nya saya tidak membagikan/menulis artikel di blog medium ini, tulisan terakhir saya Information Gathering With Yaazhini yang bisa teman-teman baca disini.

Kali ini saya akan share cara bypass Etag If-None-Match, tapi sebelum ke pembahan saya ingin menerangkan terlebih dahulu apa itu Etag atau If-None-Match.

HTTP If-None-Match adalah kondisi permintaan http. Untuk metode GET dan HEAD, server akan mengirim kembali sumber daya yang diminta, dengan status 200, tapi jika ETag tidak cocok dengan yang diberikan, permintaan hanya akan diproses hanya jika ETag sumber daya yang pada akhirnya ada tidak cocok dengan nilai apa pun yang tercantum.


https://i.pinimg.com/originals/96/14/98/961498e6cd29d3a40da2bcbf1bea7e93.jpg

Hai teman-teman semua 👋

Kali ini saya ingin sharing ke teman-teman semua tentang aplikasi Yaazhini APK/API Vulnerability Scanner (Window). Ini adalah salah satu tools yang paling sering saya pakai untuk melakukan information gathering terutama untuk mengumpulkan API yang di pakai/hit oleh sebuah aplikasi android.

System Requirements :

Operating Systems : Mac OSX(64bit), Windows (64bit & 32bit)

RAM : Minimum Usage 4GB of available memory. 16GB required for larger Android Apps Storage 10GB of available disk space

Dependancy Software : Java 1.8+

  • Scan Android APK by just one click
  • Scan Android Application REST API (emulator, device)
  • Generate report
  • Free to use

Halo teman-teman semua, kali ini saya akan sharing tentang cara menggunakan Burp Suite dan Cara Setting nya, Tapi sebelum masuk ke materi saya jelaskan sedikit tentang apa itu Burp Suite dan Fitur apa saja didalam nya.

Burp Suite adalah salah satu tools yang sering/banyak digunakan dalam melakukan kegiatan penetrasi testing pada website dan mobile apps. Kebanyakan orang termasuk saya menggunakan burp suite untuk meng-capture packet data yang dikirim (request) atau diterima (response) oleh sebuah aplikasi atau website. Namun tidak hanya untuk meng-capture sebuah packet, di dalam tools burp suite ini ada juga fitur seperti :

Scanner automation scan vulnerability pada…


Bug kali ini yang saya temukan di salah satu e-commerce indonesia adalah “Bug Content Spoofing Lead to SMS Social Engineering”. Mungkin domain, endpoint, dan gambar akan saya sensor karna saya belum memiliki ijin untuk mempublikasikan nya, Kenapa tidak meminta ijin bang? sayangnya email saya tentang ijin untuk membuat writeup sudah sekitar 9 bulan tidak di balas dan nama saya pun belum masuk dalam wall of fame mereka…. 😢

Oke sekilas tentang bug yang saya temukan, jadi saya bisa mengirimkan pesan SMS apa saja dengan menggunakan no dan mengatasnamakan e-commerce tsb, menarik bukan?


Disclaimer: Tulisan ini adalah opini dan hasil analisis saya sendiri dari beberapa sumber yang sesuai dengan pengalaman pribadi, mungkin saja ada perbedaan pandangan dan pengalaman pembaca.

Halo teman teman semua, kali ini saya ingin sharing ke teman teman semua agar terhindar dari ancaman phising (email spoofing) di tengah pandemi covid19 ini. Loh emang kenapa? di pandemik covid19 ini banyak orang orang yang di keluarkan dari perusahaan nya entah karna di PHK, atau perusahaan nya sedang goyang (tidak stabil) karna itu pasti banyak juga orang yang sedang mencari pekerjaan.

Beberapa hari lalu saya sering melihat postingan di linkedin tentang penipuan bermoduskan…


Disclaimer: Tulisan ini adalah opini dan hasil analisis saya sendiri dari beberapa sumber yang sesuai dengan pengalaman pribadi, mungkin saja ada perbedaan pandangan dan pengalaman pembaca.

Halo teman - teman semua 😊 semoga sehat selalu ya dan pandemi covid-19 ini semoga cepat berakhir, kali ini saya ingin membagikan tips untuk teman teman developer ataupun pentester tentang penting nya menambahkan validasi di backend.

Kebanyakan kasus yang saya temui para teman teman developer ini hanya menambahkan validasi di sisi frontend nya saja,


Halo teman teman semua, kali ini saya ingin membagi tutorial belajar android penetration testing dengan cara bypass SSL Pinning with Frida.js, sebenar nya sudah banyak artikel yang membahas/membagi tutorial yang sama seperti ini namun kebanyakan berbahasa inggris, dan disini saya akan coba membuatnya dengan bahasa indonesia dan mudah dipahami.

Apa itu SSL/Cert Pinning?

SSL/Cert Pinning sederhananya ialah suatu cara agar sebuah aplikasi bisa memastikan bahwa koneksi SSL/TLS dilakukan terhadap server yang seharusnya.

Apa itu Frida?

di website resminya frida adalah “Dynamic instrumentation toolkit for developers, reverse-engineers, and security researchers.” dengan kata lain temen-temen bisa menggunakan frida script untuk menyuntikkan sebuah kode-kode JavaScript kedalam sebuah aplikasi.

  • Python 2.7

Anggi Gunawan

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store