Security di CodeSaya

Oleh ganis 198 841 pada Selasa, 13 Agu 2013, 11:12:04


Kembali ke forum umum


Petunjuk Diskusi
Silahkan masuk untuk berdiskusi



Saya memperhatikan ada beberapa orang yang mencoba untuk menjalankan code-code yang berbahaya di sini.
 
Saya tidak melarang, karena dilarangpun pasti percuma, malah semakin membara-bara >_<.

CodeSaya telah berusaha sebaik mungkin untuk mengamankan codenya. Tapi tentunya pasti punya kelemahan. Saya mohon jika anda menemukan celah yang bisa dieksploitasi harap laporkan ke saya di ganiszulfa@gmail.com. CodeSaya hanya ingin membantu orang-orang yang belajar coding. Termasuk saya, saya juga sedang belajar di sini. =) Sebagai gantinya, saya bisa buat lencana khusus untuk orang yang mengeksploitasi keamanan di CodeSaya dan melaporkannya ke saya. 

Untuk user yang terdaftar, untuk kasus terburuk dimana CodeSaya dijebol, jangan kuatir. Data sensitif anda seperti password relatif sangat sangat aman karena dihash ribuan kali (literally) dengan salt yang panjang dan unik setiap user.
9 jempol


ganis
198
841
penanya
· 11 tahun, 4 bulan yang lalu · 1 jempol

Terimakasih buat user otezz (http://codesaya.com/u/otezz/) yang telah menemukan celah keamanan di CS dan melaporkannya. Celah keamanan sekarang telah diperbaiki. Untuk lencananya, nanti akan dibuat dulu dan akan mejeng di profile anda! Terimakasih sekali lagi!

otezz
175
14
· 11 tahun, 4 bulan yang lalu · 2 jempol

Sama2 gan (kalo nulis gini berasa ambigu mulu)

Saya bukan security expert. Cuma iseng aja. Dan bug itu pun bisa di temukan oleh siapa saja. Kebetulan saya yg iseng duluan jadinya saya duluan yg nemu :)

ganis
198
841
penanya
· 11 tahun, 4 bulan yang lalu · 1 jempol

haha iya memang, beberapa temen2 dekat saya juga manggilnya "gan" dari "ganis" bukan dari "juragan" ala kaskus~ apapun "gan" nya versi anda gapapa kok, kita teman! gak perlu sungkan2! haha~

either way, thanks banget! lencananya sudah ada di profil anda, semoga anda  suka! Ada nomernya 0001, sebagai indikasi bug pertama di CS, jadi kalo anda menemukan bug/celah keamanan yang lain, lencananya bisa nambah terus! hahaha... kalau di facebook, kalau menemukan bug akan diberikan insentif berupa uang, di CS mohon maaf ga bisa kasih lebih, hanya bisa kasih lencana ><

otezz
175
14
· 11 tahun, 4 bulan yang lalu · 1 jempol

Terima kasih buat lencananya.

Masalah insentif saya ga permasalahin kok, saya sendiri liat CS ga menghasilkan revenue, malah anda keluar biaya untuk server dan juga waktu untuk maintain web ini. Ini yang memacu saya ingin berkontribusi di CS. 

<curcol>
Dulu saya pernah nemu bug csrf di facebook, karena dulu ga tau ada program whitehat di facebook, saya sebar bug itu di kaskus -.-, begitu sadar nyesel banget karena reward minimumnya itu lumayan banget. Itu juga jadi pengalaman saya, daripada exploitasi bug, kenapa ga kasih tau developernya. Karena saya sendiri sebagai developer kacangan merasa sangat respect dengan orang2 yg memilih melaporkan bug daripada memanfaatkannya untuk kejahatan.
</curcol>

ganis
198
841
penanya
· 11 tahun, 4 bulan yang lalu · 0 jempol

Terimakasih atas keputusan anda untuk membantu berkontribusi di CS.

Wah, bug itu kan yang dilaporin ama orang palestina itu? bukannya maksudnya memberikan garam pada luka,, tapi dia dapet 10,000 dollar loh (http://www.cnbc.com/id/100976139), belum lagi rekognisi sebagai orang yang berhasil ngehack fb!

otezz
175
14
· 11 tahun, 4 bulan yang lalu · 1 jempol

Bukan bug yg itu, bug yg saya temuin waktu itu memungkinkan auto like post. Masih ada bekasnya di https://www.facebook.com/otezz/p...
saya nemu bug itu 3tahun yg lalu, jaman kaskus masih pake vbulletin.

Saya baru tau beritanya hacker itu dapet $10.000. Kirain salah liat nol nya. Tapi tetap aja dari pihak fb ga ada apresiasi sama sekali. Gosip jeleknya sih karena si hacker dari palestina, and zuck are.. You know lah..

donni
0
1
· 11 tahun, 3 bulan yang lalu · 0 jempol

wah melototin perbincangan para hakcer nih, mudah-mudahan ane juga bisa nemuin bug terbaru..respect banget sama orang yang mau mencerdaskan bangsa (y)

irey_gothic
164
12
· 11 tahun, 2 bulan yang lalu · 1 jempol

klo udah login, kemudian pilih 
<Tugas Berikutnya,

saya terus loop ke halaman
http://codesaya.com/php/array-lo...

pdahal semua udah selesai :)

ganis
198
841
penanya
· 11 tahun, 2 bulan yang lalu · 0 jempol

@irey_gothic

iya, itu ada kelemahan di logic source codenya CS, "tugas berikut"nya hanya diupdate untuk memeriksa tugas dari sub bab yg sama

irey_gothic
164
12
· 11 tahun, 2 bulan yang lalu · 1 jempol

@ganis :) mantap ..
meskipun ada kelemahan, kelebihan web ini sangat banyak..

Keep Creative Gan 

codingw
218
5
· 11 tahun, 1 bulan yang lalu · 1 jempol

wah patut belajar security dari agan "otezz" nih :D

irey_gothic
164
12
· 11 tahun, 1 bulan yang lalu · 1 jempol

lama ga visit.. 
gan ..ane nemu lg ..

coba login ..
> lihat profil .. 
> bookmark ..
> logout
> klik bookmark tadi .. 

dan tanpa session kita bisa masuk ke profil kita tadi .. :) 

demikian ..

ganis
198
841
penanya
· 11 tahun, 1 bulan yang lalu · 0 jempol

makasih atas inputnya,,

| dan tanpa session kita bisa masuk ke profil kita tadi .. :) 
maksudnya ga perlu login dengan memasukkan username dan password lagi tapi udah login ya? karena kalo cuman liat profil emang diijinkan.

tapi di saya sih enggak seperti itu. anda pake browser apa? kemungkinan, anda akan terlihat seperti sudah login dengan mengklik bookmark karena masih ada cache di browser anda. coba refresh ato lakukan operasi mengedit profil, pasti gagal ;-)

irey_gothic
164
12
· 11 tahun, 1 bulan yang lalu · 0 jempol

mantap gan :) 

oo .. di allow untuk liat profil ya .. sip dah gan ..

keep creative :D