Kembali lagi dengan daffa.info, disini saya akan membahas tentang cookie bomb, sebelumnya saya posting mengenai bypass xss, dan sekarang saya akan membahas mengenai cookie bomb. Sebelum membahas lebih lanjut, disini saya akan menjelaskan apa itu serangan cookie bomb dan apa efeknya bagi website yang rentan akan serangan ini, mari simak dibawah.

Bisa dilihat dari nama bahwa cookie bomb adalah serangan dengan membuat cookie yang sangat besar sehingga membuat website down karena cookie tersebut. Semisal saya punya website seperti ini, https://site.com/index.php?locale=en, kemudian check cookies, terdapat cookie “locale=en”, kemudian kita memasukkan payload yang sangat panjang agar cookiesnya juga menjadi sangat besar juga seperti https://site.com/index.php?locale=dddddddddd……. kemudian kita check lagi cookies pada website tersebut, jika website tersebut cookiesnya berubah menjadi locale=dddddddd….. maka dipastikan website tersebut vuln serangan cookie bomb

Cookies saat terkena serangan cookie bomb

Bagaimana memproduksi serangan cookie bomb ini? cara yang paling mudah dengan menggunakan burpsuite dan menggunakan ekstensi paramminer

Paramminer adalah ekstensi yang berguna untuk mengetahui parameter parameter yang ada di website tersebut. Ekstensi itu bisa diinstall dengan melihat tab “Extender” dan melihat “BApp Store” dan carilah paramminer.

paramminer in Bapp Store

Setelah menginstall, bisa dilihat bahwa, jika kamu memencet click kiri pada request maka terdapat opsi tambahan “Guess GET parameters”,”Guess cookie parameters” dan “Guest headers”, untuk menlancarkan serangan cookie bomb maka kita akan memilih Guess GET parameters dan memencet OK

Kemudian check Extender maka akan muncul parameter-parameter yang terdapat di website tersebut.

Sekian post kali ini, sampai jumpa di post lain!