Uptimerobot.com Custom Domain or Subdomain Takeover – Oke kali ini saya akan membahas kemungkinan melakukan takeover pada laman uptimerobot.com. Uptimerobot.com adalah layanan untuk menampilkan status uptime dari layanan yang kita punya. Sebagai contoh mungkin bisa dilihat di status.linuxsec.org. Yep, laman untuk menampilkan status uptime dari server kita. Nah, layanan ini sendiri bisa digunakan secara gratis maupun berbayar (versi premium).
Public Status Page untuk Uptimerobot.com pun bisa digunakan untuk domain kustom. Syaratnya dengan menambahkan CNAME yang diarahkan ke stats.uptimerobot.com.
nah jika suatu saat pemilik dari custom domain tersebut menghapus Public Status Page nya namun tidak menghapus record CNAME di domain amanger, subdomain tersebut bisa kita takeover. Sebagai contoh disini saya test di uptime.zafkiel.net . uptime.zafkiel.net mengarah ke stats.uptimerobot.com naum tidak ada public status page yang dibuat.
yuyudhn@LINUXSEC:~$ curl https://uptime.zafkiel.net/ page not found
yuyudhn@LINUXSEC:~$ curl -I https://uptime.zafkiel.net HTTP/2 404 content-type: text/html; charset=utf-8 date: Mon, 24 Sep 2018 10:34:14 GMT etag: W/"e-d2v0Cs2NwwmTXQ8pOCI5YoIXuhc" server: Caddy strict-transport-security: max-age=31536000; includeSubDomains vary: Accept-Encoding ...
Lalu test dengan perintah dig
yuyudhn@LINUXSEC:~$ dig uptime.zafkiel.net .... uptime.zafkiel.net. 215 IN CNAME stats.uptimerobot.com. stats.uptimerobot.com. 215 IN A 69.162.67.141
Oke langkah yang bisa kita ambil adalah mendaftarkan public status page untuk custom domain tersebut.
Cek uptime.zafkiel.net
Oke sekian tutorial kali ini dan semoga bermanfaat.
need help
myre
it’s paid feature
yep now it is paid feature. it is free to custom your domain before
hi do you have an account with this feauture , I HAVE A VULNURABLE SITE ,
if yes reply to give the contact information , btw this site has a bug bounty program and that subdomain abondoned
i am trying to do this, and i have some questions.
1. when i tried dig url => CNAME is not stats.uptimerobot.com
does it have to be stats.uptimerobot.com?
2. adding a custom domain is a paid feature. can i takeover the domain without paying to uptimerobot?
untuk tampilan situs nya yang Vulnerability itu kaya gimana mas?
Interesting point about Uptimerobot! Securing your uptime status page is crucial. Makes you wonder if subdomain takeover risks exist, especially if DNS records aren’t properly configured after migrating. Reminds me of the time I was meticulously crafting the perfect pizza in Papa’s Pizzeria, only to have a server crash wipe out my progress! Server security is just as important as perfecting that pepperoni placement.