July 17, 2026
Cara Saya Menemukan Celah User Enumeration & Missing Rate Limiting (Universitas Brawijaya)
Perkenalan

By xenzuu7
3 min read
Perkenalan
Halo semuanya! Pada write-up kali ini, saya ingin membagikan temuan celah keamanan (vulnerability) yang saya dapatkan saat melakukan riset independen pada salah satu subdomain Universitas Brawijaya (UB), yaitu portal JENIUS (jenius.ub.ac.id).
Dalam pengujian ini, saya menemukan kombinasi dari dua kelemahan logika: User Enumeration dan Missing Rate Limiting pada fitur reset password. Jika kedua celah ini digabungkan (chaining), seorang penyerang dapat melakukan serangan Email Bombing atau memetakan akun pengguna yang valid secara masif tanpa adanya hambatan dari sisi server.
Kronologi & Penemuan Kerentanan
1. Celah Pertama: User Enumeration
Saat menganalisis fitur Lupa Password (/index.php/jenius/login/lostPassword), saya mencoba memasukkan alamat email acak yang tidak terdaftar di sistem.
Sistem secara eksplisit memberikan respons berupa notifikasi:
"Tidak ada pengguna yang terdaftar dengan alamat email yang ditentukan."
Aplikasi web yang aman seharusnya memberikan pesan generik seperti:
"Jika email terdaftar, instruksi reset akan dikirimkan."
Dengan adanya perbedaan respons yang jelas ini, pihak luar dapat dengan mudah memvalidasi apakah suatu email terdaftar atau tidak di dalam sistem.
2. Kesenjangan Kedua: Hilangnya Batasan Tingkat
Bermodal dari validasi akun di atas, saya mencoba menguji aspek ketahanan server terhadap request beruntun. Saya menangkap (intercept) request pengiriman email reset password tersebut menggunakan Burp Suite.
Saya memasukkan parameter target dan mengirimkannya ke fitur Intruder dengan konfigurasi berikut:
- Payload position: Diarahkan pada parameter email target.
- Payload type: Menggunakan daftar email target secara berulang.
Saat serangan Intruder dijalankan sebanyak 30–100 kali request, kejutan pun terjadi.
- Server terus-menerus merespons dengan Status Code 200 OK.
- Panjang respons (Length) tetap konsisten di angka 15588.
- Tidak ada proteksi berupa Captcha, pemblokiran IP sementara, maupun pembatasan waktu (cool-down).
Impact (Dampak Risiko)
Dampak langsung yang berhasil dibuktikan dari eksploitasi gabungan ini adalah Email Bombing / Spamming.
Karena tidak adanya rate limiting, email target dapat dibanjiri ratusan email reset password dalam waktu singkat.
Selain mengganggu kenyamanan pengguna, serangan masif seperti ini berpotensi:
- Menguras sumber daya (resource) server email milik kampus.
- Menurunkan reputasi domain utama kampus (
ub.ac.id) sehingga berisiko masuk ke dalam daftar hitam (blacklist) penyedia layanan email global (seperti Gmail atau Yahoo) karena terdeteksi mengirimkan spam.
Mitigation / Rekomendasi Perbaikan
Untuk menambal celah ini, tim pengembang atau administrator sistem disarankan untuk menerapkan langkah-langkah berikut:
- Ubah Pesan Respons (Fix User Enumeration): Buatlah pesan kesalahan yang generik dan seragam untuk setiap percobaan reset password, baik email tersebut terdaftar maupun tidak di dalam database.
- Implementasikan Rate Limiting: Terapkan pembatasan ketat (misalnya, maksimal 3 request reset password per akun/IP dalam waktu 15 menit).
- Integrasikan CAPTCHA: Tambahkan mekanisme tantangan CAPTCHA pada formulir autentikasi dan reset password untuk mencegah otomatisasi bot menggunakan perangkat seperti Burp Suite.
Penutup & Solusi
Sebagai penutup, seluruh detail teknis di dalam artikel ini dipublikasikan murni setelah celah keamanan dipastikan telah diperbaiki secara total oleh pihak universitas.
Saya sangat mengapresiasi respons cepat dan keterbukaan dari Direktorat Teknologi Informasi Universitas Brawijaya. Laporan yang dikirimkan pada 6 Juli 2026 langsung ditangani dengan sangat tangkas, dan sistem dinyatakan telah aman (patched) keesokan harinya pada 7 Juli 2026.
Terima kasih juga atas apresiasi berupa Sertifikat Penghargaan yang diberikan oleh DTI UB. Hubungan yang sinergis antara security researcher dan institusi seperti inilah yang membuat ruang siber akademik kita menjadi jauh lebih aman.
Stay ethical, stay curious, and happy hacking.