Halo, mau cerita lagi. Kali ini tentang pengalaman ngk sengaja nemu bug di domain UNESCO dan akhirnya masuk Hall of Fame mereka. Padahal awalnya cuma iseng browsing.

Awalnya cuma dorking

Jadi ceritanya, saya lagi baca-baca tentang CVE-2025-0133. Buat yang belum tau, CVE itu singkatan dari Common Vulnerabilities and Exposures — semacam katalog celah keamanan yang udah terdaftar resmi. Setiap bug yang lumayan gede pada suatu versi Software biasanya dikasih nomor CVE biar gampang direferensi.

CVE-2025-0133 ini adalah celah di VPN appliance tertentu (maaf nggak saya sebut merknya, kalian searching sendiri aja). Intinya, ada parameter yang ngk divalidasi dengan bener, bisa dimasukin skrip 😹.

Nah, saya penasaran, siapa tau ada server yang masih vulnerable. Makanya saya coba dorking di FOFA (semacam Google tapi buat mencari perangkat dan server).

Dorking itu sederhananya: teknik searching pake keyword tertentu buat nemuin target yang punya celah. Misal kita nyari file tertentu, atau server dengan versi tertentu (gitulah intinya).

Nemu target UNESCO

Pas saya coba query dorking buat CVE-2025-0133, muncul beberapa hasil. Salah satunya dari domain:

https://tas.gp.unesco.org/ssl-vpn/getconfig.esp

Loalah UNESCO ternyata 😅, yaudah gass langsung saya coba exploitasi waktu itu juga.

Nemunya apa?

Ternyata endpoint /ssl-vpn/getconfig.esp ini punya parameter user yang nggak divalidasi dengan aman.

Saya coba masukin payload XSS sederhana:

<svg xmlns="http://www.w3.org/2000/svg"><script>prompt("XSS")</script></svg>

Hasilnya? Muncul pop-up di browser. Artinya, kita bisa menjalankan kode JavaScript di halaman itu.

Lapor dan respon UNESCO

Ya udah, saya laporin lewat mekanisme yang ada. Nggak terlalu berharap sih, soalnya ini temuan nggak sengaja, bukan target hunting saya juga VDP mah 😹.

Tapi ternyata... tim keamanan UNESCO ngerespon. Mereka mengakui temuan saya, ngebenerin celahnya, dan memasukkan nama saya ke Hall of Fame mereka. Buat yang belum tau, Hall of Fame itu semacam tembok kehormatan yang ngelist peneliti keamanan yang berkontribusi nemu bug di sistem mereka.

🏛️ Masuk Hall of Fame UNESCO 🏛️

Rasanya? Seneng dikit si, karena ngk terlalu effort wekwkek. Tapi yah Allhamdulillah aja nama bisa tercatat di organisasi sekelas UNESCO. Lumayan buat nambah portofolio 😄

Sedikit tambahan: apa itu CVE dan dorking?

CVE (Common Vulnerabilities and Exposures) — ibarat KTP buat sebuah celah keamanan. Setiap bug yang terdaftar dikasih nomor unik biar peneliti di seluruh dunia punya referensi yang sama. Contoh: CVE-2025-0133 yang saya bahas tadi.

Dorking — teknik searching pake keyword tertentu buat nemuin target. Di FOFA, Shodan, atau Google, kita bisa cari server dengan versi tertentu, file tertentu, atau konfigurasi tertentu. Ini skill dasar yang bergaya banget buat reconnaissance.

Penutup

Padahal awalnya cuma iseng dorking CVE orang. Ini bukti kalau di dunia keamanan siber, rasa penasaran dan kebiasaan coba-coba bisa bawa ke mana-mana.

Buat yang baca, coba aja sesekali dorking, eksplor, atau sekedar iseng liat parameter aneh di URL. Siapa tau kamu nemu sesuatu yang gede. Dan yang penting: kalau nemu, laporkan dengan baik, jangan dieksploitasi.