Original IP Found at bkperdag.kemendag.go.id
Description
Target saya ini adalah https://bkperdag.kemendag.go.id/ ketika melakukan recon saya biasanya mencari IP origin terlebih dahulu dan saya sering mencari menggunakan https://search.censys.io/ ketika saya masukkan URL tersebut di censys search bar saya menemukan beberapa alamat IP terkait. Ketika saya kunjungi IP ini 103.201.103.137 saya diarahkan ke halaman target dan ketika saya scan tidak menampilkan WAF apapun padahal ketika saya mengunjungi domain target ada WAF yang muncul.
Impact
Bug ini memungkinkan penyerang bisa melakukan serangan lebih lanjut seperti SQLi, XSS, DDoS, dan lain-lain tanpa takut diblokir oleh WAF.
Reproduction Steps
- Pergi ke https://search.censys.io/
- Masukkan bkperdag.kemendag.go.id di search bar dan cari.
- Klik IP 103.201.103.137
Timeline
30 Oktober 2023 : Kirim laporan
30 Oktober 2023 : Pengecekan
Hai Pak Rohmad,
Terima kasih atas laporannya, kami akan segera cek dan tindak lanjuti ke unit kerja bersangkutan.
Salam,
HERO Kemendag
31 Oktober 2023 : Bug diperbaiki
Yth Pak Rohmad Hidayah
Terima Kasih atas Laporannya. Laporan tersebut sudah kami tindak lanjuti.
Hormat Kami
Agent HERO
31 Oktober 2023 : Tanya tentang reward
Apakah ada reward atau sertifikat pak?
1 November 2023 : Agen Kementerian Perdagangan
Baik untuk sertifikat nanti kami kirimkan melalui email Bapak
Terima KasihHormat kami,
Agent Hero Kementerian Perdagangan
2 November 2023 : Sertifikat apresiasi diberikan
Yth Bapak Rohmad Hidayah
Terlampir adalah sertifikat CSIRT sebagai tanda apresiasi dari Kementerian Perdagangan atas jasanya dalam menemukan kerentanan sistem keamanan di dalam website Kami. Terima Kasih.
CSIRT
Kementerian Perdagangan Republik Indonesia
