Intro
Berbicara mengenai "tampering" tentu saja untuk kamu yang sudah terjun ke dunia pentest sudah tidak asing lagi dengan kata tersebut, tampering secara bahasa artinya merusak, dan teknik tampering ini biasa digunakan untuk melakukan manipulasi sesuatu yang berhubungan dengan request terhadap server side.
Sebagai contoh, sebelum melakukan request terhadap server, seorang pentester biasanya melakukan intercept terhadap request tersebut, bisa menggunakan burpsuite atau yang lainnya, nah setelah mendapat data yang sudah ter-intercept, pentester akan mengubah/memanipulasi data yang didalam request itu, misal dari nominal, jumlah atau apapun, lalu setelah data tersebut diubah, baru akan diteruskan ke server.
Kurang lebih seperti itulah maksud dari "tampering".
Persiapan
Sebelum mempraktekan Parameter Tampering, tentu saja akan ada sesuatu yang harus disiapkan, yaitu :
- Laptop/PC
- Browser
- Internet
- Tools untuk intercept request, seperti BURPSUITE, LIVE HTTP HEADER (ini untuk firefox)
- Niat
- Secangkir Kopi
Jika semuanya sudah siap, gaskeun cuk yahahaha.
Praktek
Tanpa basa basi lagi, kita langsung masuk ke tahapannya.
- Buka broser dan langsung siapkan target, disini saya menggunakan target yang sebelumnya sudah saya coba, serta sudah saya report, hanya saja belum ada tanggapan apapun dari pihak manusia disana.
Sedikit memberikan clue, bug untuk parameter tampering ini, biasanya terdapat pada web-web yang menyediakan form transaksi yang berhubungan dengan "nominal". - Ikuti prosedur transaksi di web yang ada, misal seperti mengisi form pada web tersebut, seperti berikut :
- kita click salah satu transaksi tersebut dan membuka http live header untuk meng intercept transaksinya, kita perhatikan method dan pembayarannya.
4. Lalu ubah method menjadi post dan rubah juga pembayarannya sesuai yang kita ingin kan
5. Klik send pada live http header dan akan otomastis merubah pada web nya
6. Taraaaa.....
Ya itulah sedikit demo PoC dari Parameter Tampering, maaf jika ss nya saya sensor, karna live target xixixi, kamu bisa coba ini di targetmu sendiri atau lab buatanmu sendiri seperti multilidae, Bvwa dll.
Terima kasih.
Post a Comment
Komentar Spam Akan kami Hapus