Pendahuluan PT Pelni (Perusahaan Umum Pelayaran Nasional Indonesia) adalah perusahaan yang menyediakan layanan transportasi laut di Indonesia. Sebagai salah satu perusahaan besar yang melayani banyak penumpang dan memiliki infrastruktur digital yang kompleks, menjaga keamanan data dan sistem menjadi hal yang sangat penting. Namun, selama proses bug bounty, saya menemukan sebuah kerentanan yang bisa sangat berisiko bagi perusahaan besar seperti Pelni, yaitu git repository disclosure pada subdomain pelni.co.id . Ringkasan Kerentanan Kerentanan git repository disclosure terjadi ketika repositori Git yang berisi kode sumber, konfigurasi sistem, atau informasi sensitif lainnya dibiarkan terbuka untuk publik. Dalam kasus ini, saya menemukan bahwa repositori Git yang berisi data sensitif perusahaan PT Pelni bisa diakses oleh siapa saja melalui subdomain mereka. Hal ini berpotensi mengungkapkan file konfigurasi penting, kunci API, atau bahkan kerentanannya sendiri dalam kode aplikasi yan...
Pendahuluan Siapa sih yang nggak kenal brand H&M? Brand fashion global ini terkenal dengan koleksi pakaian yang modern dan terjangkau. H&M juga memiliki website resmi yang memudahkan pelanggan untuk berbelanja secara online, termasuk untuk pasar Indonesia melalui situs id.hm.com . Beberapa waktu lalu, saya mencoba melakukan pengujian keamanan pada situs tersebut dan menemukan sebuah kerentanan Reflected Cross-Site Scripting (XSS) . Meskipun celah ini sekarang sudah ditutup, saya mendokumentasikannya sebagai bagian dari portofolio bug bounty saya dan juga sebagai bahan edukasi mengenai pentingnya sanitasi input di aplikasi web. 🧠Ringkasan Kerentanan Kerentanan yang saya temukan tergolong dalam kategori Reflected XSS , di mana input dari pengguna dipantulkan kembali ke halaman web tanpa proses penyaringan yang memadai. Ini bisa memungkinkan eksekusi skrip di sisi pengguna (client-side), yang tentu saja dapat dimanfaatkan untuk berbagai aksi berbahaya, seperti pencuri...