Uptimerobot.com Custom Domain or Subdomain Takeover – Oke kali ini saya akan membahas kemungkinan melakukan takeover pada laman uptimerobot.com. Uptimerobot.com adalah layanan untuk menampilkan status uptime dari layanan yang kita punya. Sebagai contoh mungkin bisa dilihat di status.linuxsec.org. Yep, laman untuk menampilkan status uptime dari server kita. Nah, layanan ini sendiri bisa digunakan secara gratis maupun berbayar (versi premium).
Public Status Page untuk Uptimerobot.com pun bisa digunakan untuk domain kustom. Syaratnya dengan menambahkan CNAME yang diarahkan ke stats.uptimerobot.com.
nah jika suatu saat pemilik dari custom domain tersebut menghapus Public Status Page nya namun tidak menghapus record CNAME di domain amanger, subdomain tersebut bisa kita takeover. Sebagai contoh disini saya test di uptime.zafkiel.net . uptime.zafkiel.net mengarah ke stats.uptimerobot.com naum tidak ada public status page yang dibuat.
yuyudhn@LINUXSEC:~$ curl https://uptime.zafkiel.net/ page not found
yuyudhn@LINUXSEC:~$ curl -I https://uptime.zafkiel.net HTTP/2 404 content-type: text/html; charset=utf-8 date: Mon, 24 Sep 2018 10:34:14 GMT etag: W/"e-d2v0Cs2NwwmTXQ8pOCI5YoIXuhc" server: Caddy strict-transport-security: max-age=31536000; includeSubDomains vary: Accept-Encoding ...
Lalu test dengan perintah dig
yuyudhn@LINUXSEC:~$ dig uptime.zafkiel.net .... uptime.zafkiel.net. 215 IN CNAME stats.uptimerobot.com. stats.uptimerobot.com. 215 IN A 69.162.67.141
Oke langkah yang bisa kita ambil adalah mendaftarkan public status page untuk custom domain tersebut.
Cek uptime.zafkiel.net
Oke sekian tutorial kali ini dan semoga bermanfaat.
need help
myre
Your blog postings are well-structured and easy to navigate, and they always contain the data I’m looking for soccer random
it’s paid feature
I have no words to express my gratitude for this post….I am truly impressed by this post…the author of this post was an exceptional individual.Thank you for revealing this to us.We appreciate your willingness to share information with us. gacha life
I assumed Johnson handled the process, and I was relieved to finally be able to put a face and a name to the clerk’s backrooms game office.