Langsung ke konten utama

Analisis Keamanan: Kerentanan pada Astrapay

 


Apa Itu Astrapay?

Astrapay adalah layanan dompet digital yang dikembangkan oleh PT Astra Digital Arta. Platform ini memungkinkan pengguna untuk melakukan transaksi digital seperti pembayaran tagihan, pembelian pulsa, dan berbagai layanan keuangan lainnya dengan mudah dan cepat. Sebagai bagian dari ekosistem Astra, Astrapay bertujuan untuk memberikan solusi pembayaran yang aman dan nyaman bagi penggunanya.

Kerentanan yang Ditemukan


Pada halaman legal Astrapay (https://astrapay.com/legal), terdapat potensi kerentanan terkait dengan unsanitized input dalam parameter product. Salah satu contoh eksploitasi adalah dengan memasukkan payload berikut:

https://astrapay.com/legal?product="><Svg On Only=1 Onload=alert("FAREL")>%0A

Kerentanan ini menunjukkan adanya Cross-Site Scripting (XSS) Reflected, di mana input pengguna tidak difilter dengan baik sebelum ditampilkan di halaman web. Jika dieksekusi di browser, skrip dalam parameter tersebut dapat menyebabkan eksekusi kode JavaScript berbahaya.

Dampak Potensial

  • Pencurian Cookie: Penyerang dapat mencuri sesi pengguna dengan mencuri cookie melalui JavaScript berbahaya.

  • Phishing Attack: Halaman yang terkena XSS dapat digunakan untuk menampilkan form login palsu guna mencuri kredensial pengguna.

  • Defacement: Penyerang dapat menyisipkan elemen HTML atau JavaScript untuk mengubah tampilan halaman.

  • Pengalihan Berbahaya: Skrip dapat memaksa pengguna untuk diarahkan ke situs berbahaya.

Kesimpulan

Ditemukannya kerentanan XSS pada halaman Astrapay menunjukkan bahwa sanitasi input masih menjadi tantangan dalam pengembangan aplikasi web yang aman. Untuk mengatasi masalah ini, Astrapay harus segera menerapkan validasi input yang lebih ketat serta menggunakan mekanisme Content Security Policy (CSP) dan Output Encoding agar aplikasi lebih tahan terhadap serangan semacam ini.

Pengguna juga disarankan untuk selalu berhati-hati dalam mengakses tautan yang mencurigakan dan menggunakan fitur keamanan seperti Two-Factor Authentication (2FA) untuk melindungi akun mereka dari potensi eksploitasi akibat serangan XSS.


Komentar

Posting Komentar

Postingan populer dari blog ini

DEFACE POC REGMEN WITH JSO

Yaaa Gosh banyak bacot lgsg ke intinya ya asw Bahan²: 1.dork -inurl /kontributor site go.id  (User your brain klw punya) 2.sc jso(klw belum punya buat lah anj) 3.paket/WiFi anak org Lgsg ke setp by step 1.pertama Tama kalian nge dork dulu pilih salah satu yg kalian mau 2.isi asal asal aee form nya Trus konfirmasi 3.nanti otomatis lgsg masuk ke dashboard,nah kalian pilih titik 3 disudut kiri,tekan modul berita,trus pilih berita kek gambar di atas 4.klik tambah kan data trus isi terserah kalian, kecuali di isi berita kalian tempel SC jso kalian  kek gambar di atas Trus kalian tambahkan aja 5.trus tinggal akses hasil nya,cara nya SITE.COM/BERITA kalian tinggal klik aja punya kalian dan... bisa kan Ezy anak esde juga bisa 
Posting Komentar
Read more »

Kerentanan pada sigap.b4t.go.id?

Apa sih sebenarnya sigap.b4t.go.id? Sigap (sigap.b4t.go.id) adalah sebuah website yang milik Balai Besar Bahan dan Barang Teknik (B4T), suatu badan yang dipimpin oleh yayasan Kementerian Perindustrian Indonesia. Website ini diperkirakan bertindak sebagai sistem informasi dalam, pengelolaan data, atau layanan berbasis web lainnya yang berhubungan dengan pekerjaan pokok B4T. Jenis Kerentanan Salah satu kekurangannya yang ditemukan pada sigap.b4t.go.id adalah terdapat folder.git yang dapat diakses oleh publik. Folder.git ini adalah direktori yang berisikan riwayat versi kode sumber di sistem kontrol versi Git. Jika direktori ini dibuka secara total, data yang di dalamnya dapat dieksploitasi lebih lanjut.   Setelah melakukan aplikasi kelemahan ini, saya dapat memperoleh list komplit direktori jalur semua file yang ada pada server. Informasi ini memberikan gambaran tentang struktur sistem yang diberlakukan oleh platform ini. Serta, saya dapat memperoleh file database dengan nama...
Posting Komentar
Read more »