stats counter free Bug Bounty At Idcloudhost.com : Email Spoofing - Blogpongo
Endang Saya adalah lulusan SMK yang punya hobi dengan dunia Jurnalistik, Teknologi, Travel dan saya tulis semuanya di blog ini.

Bug Bounty At Idcloudhost.com : Email Spoofing

2 min read

Halo semuanya Kembali lagi saya menulis artikel di blog ini, sudah jarang nulis karena ada kesibukan dan kali saya ingin membuat artikel Write-up saya menemukan bug email Spoofing pada situs Idcloudhost.

Idcloudhost sendiri merupakan situs penyedia layanan jasa hosting dan domain terbaik di Indonesia saat ini, saya juga berlangganan di idcloudhost untuk website saya lainnya.

Beberapa hari hari lalu saya membaca sebuah write-up dari nakanosec yang tentang email Spoofing di situs Kaskus Indonesia, dari sana saya berfikir untuk mencoba pada situs lain.

Beberapa situs saya coba dan memang vuln namun tidak semua merespon dengan baik, tapu Alhamdulillah Idcloudhost merespon bug yang saya laporkan yaitu email Spoofing.

Apa itu email Spoofing ?

Bug ini dapat dikatakan sebagai “Server Security Misconfiguration > Mail Server Misconfiguration > No Spoofing Protection on Email Domain” menurut Bugcrowd VRT yaitu terdapat pada SPF (Sender Policy Framework) records yang missing.

Apa Itu SPF ?

Penjelasan tentang SPF : SPF merupakan kependekan dari Sender Policy Framework, suatu mekanisme suatu email yang berasal dari domain tertentu hanya bisa dikirim lewat suatu mail server yang ditunjuk. Dengan adanya record ini, maka pengiriman email yang berasal dari domain tertentu hanya diperbolehkan dari mail server yang telah ditentukan. Jika ada email yang berasal dari domain tersebut, tetapi tidak berasal dari mail server yang telah ditentukan, maka email tersebut akan ditolak.  Dengan mekanisme ini maka akanmengurangi spam.

Nah, yang terjadi pada umumnya adalah masih banyak website yang tidak aware terhadap SPF records ini,

lalu apa dampaknya Email Spoofing ?

Email spoofing terhadap victim ( korban ) Dapat melakukan manipulasi email dengan menyamar sebagai domain tertentu dan dikirimkan kepada victim ( korban )

Bagaimana Cara Melakukan Email Spoofing ?

1.Check in https://www.kitterman.com/spf/validate.html
2.Go https://emkei.cz/?reCAPTCHAv2
3.Set email from with official domain : spf@domainvuln.com
4.Send to victim
5.Email will sending to victim and not spam

Nah itulah penjelasan detail mengenai bug email Spoofing (SPF) yang saya dapatkan dari https://medium.com/@danangtriatmaja/bug-bounty-improper-authentication-spf-records-medium-severity-76a3f43fdcfe

Sekarang ke pembahasan write-up saya pada situs Idcloudhost terkait bug email Spoofing.

Awalnya saya mengecek beberapa situs menggunakan tools dari nakanosec untuk check mass spf vuln, berikut adalah tools.

Tools Checker Email Spoofing

https://github.com/Adelittle/SPF_Mass_Scan

Cara Install SPF Masa Scan

Berikut adalah cara install tools ini git

clone https://github.com/Adelittle/SPF_Mass_Scan  cd 
SPF_Mass_Scan
 bash little.sh  
Pindah list.txt ke directory SPF_Mass_Scan

Yap dari hasil scan saya mendapat kalo Idcloudhost [+Vuln] Email Spoofing, tanpa pikir panjang saya pun mencoba nya.

1. Pertama saya buka dulu situs mailer dari Emkei.cz
2. Saya isi semua data yang diperlukan dan pada “From” saya isi dengan email resmi dari idcloudhost : care@idcloudhost.com
3. Saya cek dan email masuk ke “Utama Email” bukan ke spam seperti screenshot berikut ini :

Setelah saya pastikan ngebug, saya pun langsung melaporkan bug ini ke email care@idcloudhost.com tanpa lama kemudian bug di tanggapi dan sedang dilakukan pengecekan oleh tim Terkait.

Setelah dilakukan pengecekan bug dinyatakan valid dan sebagai hadiah pihak Idcloudhost memberikan rewards berupa saldo 500K untuk di gunakan dalam pembelian layanannya (sayang gak bisa di cairin ;'( )

Email Spoofing Idcloudhost

Yap itulah sedikit cerita dan panjang lebar saya, kalo Artikel kepanjangan mohon maaf ini untuk keperluan Seo blogpongo.com

Semoga dari writeupnya ini kalian bisa meng-exploitasikannya ke situs lain, tapi perlu di ingat gak semua perusahaan akan menganggap ini sebagai bug dan memberikan rewards.

Timeline Report :

  • 27 Januari 08.00 WITA (penemuan bug)
  • 27 Januari 11.00 WITA (Report)
  • 27 Januari 11.30 WITA (Pengecekan oleh tim Idcloudhost)
  • 27 Januari 15.00 WITA (bug valid & send rewards)

Ikuti Saya Di Social Media

150 Shares
Endang Saya adalah lulusan SMK yang punya hobi dengan dunia Jurnalistik, Teknologi, Travel dan saya tulis semuanya di blog ini.
Panduan seputar Blogging, Adsense, SEO, Template Dan Tips & Trik Blog KangBlogger