Skip to main content

Command Palette

Search for a command to run...

Spoofing File Download Origin Using Long Subdomain

Updated
1 min read
Spoofing File Download Origin Using Long Subdomain

Salah satu trik sederhana untuk menemukan bug di browser adalah dengan menggunakan long subdomain saat melakukan download file. Teknik ini bisa mengecoh pengguna karena browser kadang memotong tampilan asal file, sehingga terlihat seolah-olah file berasal dari situs terpercaya.

📥 Contoh Kasus

Misalnya, kamu punya link download seperti ini:

https://google.com.verify.update.recovery.safe.google.com.attacker.com/file.pdf

Ini sebenarnya berasal dari attacker.com, tapi karena subdomainnya panjang banget, browser bisa menampilkan:

File ini didownload dari: https://google.com

Atau:

File ini didownload dari: https://google.com...

Padahal jelas-jelas file berasal dari domain yang berbeda dan tidak terpercaya.

🛡️ Dampak

  • Menyesatkan pengguna

  • Potensi penyebaran file berbahaya

✅ Kesimpulan

Long subdomain bisa menyembunyikan domain asli saat download file, membuat korban mengira file berasal dari situs terpercaya. Teknik ini sederhana tapi bisa sangat efektif, terutama jika browser gagal menampilkan asal file dengan benar.

More from this blog

B

BountyProofs | Bug Bounty Writeups & Free Tools

36 posts

Explore real-world bug bounty proofs of concept. Learn how ethical hackers find and exploit security flaws across platforms.