# Spoofing File Download Origin Using Long Subdomain

Salah satu trik sederhana untuk menemukan bug di browser adalah dengan menggunakan **long subdomain** saat melakukan **download file**. Teknik ini bisa mengecoh pengguna karena browser kadang **memotong tampilan asal file**, sehingga terlihat seolah-olah file berasal dari situs terpercaya.

### 📥 Contoh Kasus

Misalnya, kamu punya link download seperti ini:

```xml
https://google.com.verify.update.recovery.safe.google.com.attacker.com/file.pdf
```

Ini sebenarnya berasal dari [`attacker.com`](http://attacker.com), tapi karena subdomainnya panjang banget, browser bisa menampilkan:

```xml
File ini didownload dari: https://google.com
```

Atau:

```xml
File ini didownload dari: https://google.com...
```

Padahal jelas-jelas file berasal dari domain yang berbeda dan tidak terpercaya.

### 🛡️ Dampak

* Menyesatkan pengguna
    
* Potensi penyebaran file berbahaya
    

### ✅ Kesimpulan

**Long subdomain** bisa menyembunyikan domain asli saat download file, membuat korban mengira file berasal dari situs terpercaya. Teknik ini sederhana tapi bisa sangat efektif, terutama jika browser gagal menampilkan asal file dengan benar.
