Address Bar Spoofing via Long Subdomain
Hi, I’m a bug bounty hunter and cybersecurity enthusiast who began my journey in 2023. I enjoy exploring and discovering hidden vulnerabilities in browsers, applications, and various platforms—especially those that are rarely examined by others. My focus is on browser and website security issues. I also share my findings and educational content through my YouTube channel, Lazy Cyber Security. https://8da993bf3fa4.ngrok-free.app
Saya menemukan sebuah kerentanan di mana address bar dapat disalahgunakan (spoofing) melalui penggunaan subdomain yang sangat panjang. Masalah ini terjadi karena antarmuka (UI) browser tidak mampu menangani subdomain dengan panjang berlebih secara optimal, sehingga hanya menampilkan sebagian dari domain pada address bar.
Akibatnya, bagian domain yang sebenarnya penting justru tersembunyi dari tampilan. Hal ini dapat dimanfaatkan oleh attacker untuk membuat URL terlihat seolah-olah berasal dari domain resmi, seperti google.com.
Sebagai contoh:
acccount.google.com.testtest.test.evil.com
Pada browser yang rentan, address bar mungkin hanya menampilkan:
account.google.com
Sementara bagian sebenarnya, yaitu:
testtest.test.evil.com
tidak terlihat karena tertutup oleh panjangnya subdomain.
Kondisi ini berpotensi menyesatkan pengguna, karena mereka dapat mengira sedang mengakses domain yang sah, padahal sebenarnya berada di domain yang dikendalikan oleh attacker.
![[Bug Bounty] Race Condition: Redeeming Single-Use Coupon Multiple Times](/_next/image?url=https%3A%2F%2Fcdn.hashnode.com%2Fres%2Fhashnode%2Fimage%2Fupload%2Fv1770116456998%2F629ff44d-4a0a-4445-91bf-c37d3e84c104.jpeg&w=3840&q=75)