BountyProofs | Bug Bounty Writeups & Free Tools

BountyProofs | Bug Bounty Writeups & Free Tools

Spoofing File Download Origin Using Long Subdomain

UpdatedMay 13, 2025

•1 min read

Spoofing File Download Origin Using Long Subdomain

Salah satu trik sederhana untuk menemukan bug di browser adalah dengan menggunakan long subdomain saat melakukan download file. Teknik ini bisa mengecoh pengguna karena browser kadang memotong tampilan asal file, sehingga terlihat seolah-olah file berasal dari situs terpercaya.

📥 Contoh Kasus

Misalnya, kamu punya link download seperti ini:

https://google.com.verify.update.recovery.safe.google.com.attacker.com/file.pdf

Ini sebenarnya berasal dari attacker.com, tapi karena subdomainnya panjang banget, browser bisa menampilkan:

File ini didownload dari: https://google.com

Atau:

File ini didownload dari: https://google.com...

Padahal jelas-jelas file berasal dari domain yang berbeda dan tidak terpercaya.

🛡️ Dampak

Menyesatkan pengguna
Potensi penyebaran file berbahaya

✅ Kesimpulan

Long subdomain bisa menyembunyikan domain asli saat download file, membuat korban mengira file berasal dari situs terpercaya. Teknik ini sederhana tapi bisa sangat efektif, terutama jika browser gagal menampilkan asal file dengan benar.

#bountytipsbrowser

202 views

More from this blog

Simple AHK Tool untuk Mempercepat Testing (Bug Bounty)

Dalam proses bug bounty, terutama saat menguji potensi DoS (Denial of Service) atau resource exhaustion, kita sering harus mencoba banyak payload secara berulang. Kalau masih manual copy paste, itu cu

Mar 31, 20262 min read49

Simple AHK Tool untuk Mempercepat Testing (Bug Bounty)

CVE-2025-14812: Zero-Click Address Bar Spoofing in Arc Browser iOS

Assalamualaikum, my name is Syarif Muhammad Sajjad, also known as syarif07 on HackerOne. In this writeup, I’ll walk through one of my findings that was assigned CVE-2025-14812, a high-severity vulnera

Mar 25, 20264 min read338

Write-up: Intigriti 0226 challenge

Intigriti 0226 challenge by d3dn0v4 This is a brief story of how I approached and solved the Intigriti 0226 challenge from identifying the weak points to chaining them into a working. Let’s Get Starte

Feb 23, 20264 min read124

Write-up: Intigriti 0226 challenge

[Bug Bounty] Race Condition: Redeeming Single-Use Coupon Multiple Times

Pada kesempatan kali ini saya akan membahas kerentanan yang seringkali terlewat oleh mata telanjang tapi punya impact yang sangat fatal, yaitu Race Condition. Kerentanan ini saya temukan pada fitur Redeem Voucher di sebuah platform E-Commerce (mari k...

Feb 3, 20264 min read118

[Bug Bounty] Race Condition: Redeeming Single-Use Coupon Multiple Times

Bypass Popup Blocking pada Mode Split Screen melalui Abuse Event onerror

Pada kondisi normal, browser membatasi pembukaan pop-up yang tidak dipicu oleh interaksi pengguna. Namun, perilaku ini berubah ketika halaman dijalankan dalam mode Split Screen. Dengan memanfaatkan event onerror pada elemen media HTML seperti <audio>...

Feb 3, 20261 min read106

Bypass Popup Blocking pada Mode Split Screen melalui Abuse Event onerror

B

BountyProofs | Bug Bounty Writeups & Free Tools

36 posts

Explore real-world bug bounty proofs of concept. Learn how ethical hackers find and exploit security flaws across platforms.