Bug Zohib Messenger (Juni 2015)

Jika Anda belum membaca, sebaiknya baca dulu pengantar seri ini: Mencari dan melaporkan bug security. Perlu dicatat: bug ini sudah dilaporkan (6 bulan yang lalu), sudah diperbaiki. Posting ini hanya untuk pelajaran bersama.

Sejujurnya: Sebelumnya saya belum pernah denger aplikasi Zohib Messenger (ZM) ini. Ternyata setelah dicari-cari, aplikasi ini pernah jadi aplikasi resmi Kominfo untuk para pemudik.

Saya ringkaskan dulu bug-bug yang saya temui sebelum masuk ke bagian cerita detail:

  • Username/password kita disimpan di database dalam bentuk plaintext
  • SSL dengan self signed certificate, dan certificatenya tidak dicek
  • Unauthenticated/sessionless API access

Karena bug terakhir ini cukup umum, saya jelaskan lebih lanjut untuk yang awam: ketika kita login, server biasanya akan mengirimkan token atau session id random, sebagai bukti siapa diri kita, dan bahwa kita diberi akses oleh server. Jadi setiap request berikutnya, kita perlu mengirimkan lagi session id atau token ini. Analoginya begini: kalau saya mau masuk komplek tertentu di sini, saya perlu memberikan ID saya, lalu saya akan diberi kartu pengunjung. Kartu ini dikenali oleh semua satpam, jadi mereka tahu saya ini pengunjung, dan satpam juga bisa membantu atau membatasi (misalnya: “mas, maaf gak boleh parkir di sini, nanti Bu Dewi nggak bisa lewat”).

Continue reading “Bug Zohib Messenger (Juni 2015)”

Mencari dan melaporkan bug security

Tulisan ini adalah pengantar untuk tulisan-tulisan saya berikutnya dalam topik security yang akan saya publish dalam beberapa hari (atau minggu) ke depan. Saya akan mendeskripsikan bug-bug yang cukup fatal dalam beberapa aplikasi Indonesia yang saya temukan. Semua bug ini sudah diperbaiki, jadi tidak berbahaya bagi siapapun. Yang sudah saya rencanakan adalah: Gojek, Zohib Messenger, dan Mandiri e-Money.

Bug World

Sebagian akan ada yang mempertanyakan: untuk apa mendeskripsikan bug yang sudah diperbaiki? nanti cuma akan mempermalukan perusahaan itu saja, tidak ada gunanya!. Mendeskripsikan bug sudah merupakan hal yang sangat lazim dilakukan setiap hari di dunia security. Bahkan Google juga memeriksa bug-bug software perusahaan lain melalui Project Zero, di blog project zero, Anda bisa melihat berbagai bug dari mulai Antivirus sampai sistem operasi.

Continue reading “Mencari dan melaporkan bug security”

Printer 3D

Beberapa waktu yang lalu saya memesan kit printer 3 dimensi alias 3D Printer dari AliExpress. Harganya 255 USD dengan pajak 24 USD sampai ke Chiang Mai Thailand. Sejak beberapa tahun yang lalu harga printer ini terus menurun, 2 tahun yang lalu masih sekitar 1000 USD, lalu tahun lalu sudah sekitar 500 usd, dan tahun ini sudah setengahnya. Tadinya saya akan menunggu sebulan sebelum posting mengenai ini, tapi karena tiap hari sudah banyak yang bertanya, maka saya akan membuat posting awal sekarang, dan akan posting nanti beberapa minggu lagi.

Printer sudah dirakit

Sebagai informasi: berdasarkan cara kerjanya ada banyak jenis 3D printer di dunia ini, tapi yang masuk level harga untuk hobi (kurang dari 1000 USD) adalah jenis FFM (Fused Filament Manufacturing) atau nama lainnya adalah FDM (Fused Deposition Modeling) atau FFF (Fused Filament Fabrication). Printer dengan teknologi SLA (Stereolitography) harganya mulai turun, tapi printer murah jenis ini masih jarang sekali. Saya hanya akan membahas printer dengan teknologi FDM/FFM di posting ini.

Sebelum membeli printer 3D, sebaiknya minimal Anda membaca artikel yang saya temukan dua tahun yang lalu, supaya punya ekspektasi yang masuk akal (meski sudah dua tahun, isinya masih valid):

Continue reading “Printer 3D”