Bug Pada Website GO-JEK Indonesia


Bug Pada Website GO-JEK Indonesia - Go-Jek merupakan sebuah startup yang menggunakan teknologi sebagai modal utama untuk menjalankan bisnisnya. Kami rasa Go-jek sendiri pasti mempunyai banyak sekali team didalamnya, seperti team developer, design, marketing dan lain lain. dan kami yakin pastinya gojek juga mempunyai team security untuk menjaga keamanan teknologi yang dipakainya.

Memang Go-jek tidak sepenuhnya menggunakan websitenya untuk menjalankan kegiatanya. Gojek hanya menggunakan aplikasi pada android / ios / os lainnya. Tetapi tidak menutup kemungkinan apakah website gojek dibiarkan begitu saja ? Menurut kami website juga sangat penting walaupun tidak banyak digunakan tetapi paling tidak dijaga keamanannya untuk mengindari sesuatu yang fatal. 

Ternyata website gojek mempunyai bug lohh.. 
mau tau ? Simak berikut ini 

Bug Website GoJek

#- Title: Bug Website GoJek 
#- Author: Tidak dipastikan
#- Published : 7-17-2016
#- Developer : Team Go-Jek
#- Fixed in Version : -
#- Tested on : windows
========================================================================
Proof Of Concept 


Vulnerability :
site.com/path/elfinder

Vuln Extension :
.php .php3 .php6 .txt .html .pl .htaccess .html .phtml .jpg .gif and anymore

Jenis Kerusakan : 
Lumayan Tinggi ( Tergantung Webnya )

Metode Penyerangan :
Attacker dapat menyerang celah ini dengan mengupload backdoor dengan berbagai extension

Deskripsi :

Go-jek mempunyai bug kemanan pada websitenya. bug tersebut adalah bug yang sudah banyak digunakan oleh beberapa website didunia. Jadi kami tidak kaget lagi tentang bug itu. Bug itu adalah : elFinder 2.0 - file manager for web(rc1) - File Upload Vulnerability
Bug ini sudah lama ditemukan sekitar 2 tahun yang lalu. 




Nampaknya go-jek sudah mengantisipasi hal berikut. Elfinder yang terdapat gojek ini sudah ditata sedimikian rupa sehingga para attacker hanya bisa mengupload beberapa file tetapi tidak bisa dapat mengeksekusi. 

Tetapi tidak menutup kemungkinan mungkin ada attacker yang lebih lihai lagi. Bisa saja elfindernya dibypass kemudian attacker tersebut dapat masuk kedalam public html. Tentu hal ini bisa berakibat fatal bagi Go-jek

Reference :  0day .today/exploit/22381

Solve
Patching




 ( Pic )



0 Response to "Bug Pada Website GO-JEK Indonesia"

Posting Komentar