Tahukah anda , bahwa suatu website dapat di jadikan bug ? Mungkin memang begitu adanya, namun semua ini tak lepas dari salah satu pada bagian website ada yang eror, contohnya dataserver, header, dan lain-lain. Kunci utama sebuah website dapat di jadikan bug adalah website tersebut mempunyai bagian yang error. Jadi bila tidak ada eror dalam suatu website tetapi anda memaksakan website tersebut menjadi bug, ya semua itu akan sia-sia.
Dalam menentukan sebuah bug hingga pembuatan payload semua di bagi menjadi 3 tahap. Berikut ini tahapan-tahapannya :
1. Mencari list situs ISP di http://atsameip.com/
2. Mencari Error Webserver di http://mxtoolbox.com/domain/
3. Mencari Format Payload di https://urivalet.com/
Perlu anda ingat !!!
Setiap bug itu mempunya eror yang berbeda-beda bug satu dengan bug lainnya pasti berbeda. Maksud beda disini adalah beda eror pada bug tersebut, jadi agar bug dapat di pakai anda harus mengubah penerapan bug tersebut.
Namun, jika anda beruntung bisa saja anda menemukan bug yang sama. Jadi anda tidak perlu untuk mengubah payload jika anda telah mempunyai payload yang cocok untuk bug tersebut.
Nah pada kesempatan ini, kita hanya akan menggunakan satu buah sampel saja, agar tidak terlalu memakan durasi serta tidak membuat anda bingung, hehe. Karena kebetulan saya adalah user telkomsel, kaka saya memilih bug telkomsel yang saya jadikan sampel.
Berikut ini adalah request dari bug yang daya pilih
GET https://my.telkomsel.com/GTConnect/index.jsp HTTP/1.1
Accept: */*
Accept-Encoding: gzip
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Language: en-us,en;q=0.5
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:36.0) Gecko/20100101 Firefox/36.0
Host: my.telkomsel.com
Connection: Keep-Alive
Berikut ini adalah respon yang di berikan oleh request di atas
Content-Length: 6403
Content-Type: text/html; charset="ISO-8859-1"
Set-Cookie: JSESSIONID=85lVVQzPBQHZLl1pp9VzlZy2zCnRCTbD4!-393229717; path=/
Agar bug tersebut dapat bekerja dengan baik maka anda harus menambahkan replace headernya. Untuk pengguna android khususnya Http Injector dapat menggunakan fitur Header Replacer. Namun untuk pengguna inject PC harus menambahkan replace header secara manual di injrct anda. Berikut ini beberapa eror yang perlu anda replace.
HTTP/1.0 302 Found → Sangat perlu di replace karena mengarah ke link utama.
HTTP/1.1 500 Server Internal Error → Hanya replace link outbound saja.
HTTP/1.1 404 Bad Request → Hanya replace link internal saja.
Mungkin hanya itu dulu yang dapat saya sampaikan. Ssemoga dasar dalam pembuatan payload yang bagus ini dapat membantu anda. Demikian dari saya, salam newbie.
