Perburuan bug bounty ku di Tokopedia #2

Share:


Tokopedia.com merupakan salah satu pusat perbelanjaan daring di Indonesia yang mengusung model bisnis marketplace. Tokopedia memungkinkan setiap individu, toko kecil, dan brand untuk membuka dan mengelola toko daring.
ini merupakan pemburuan bug bounty di tokopedia.
Tokopedia — Directory Listing :
Tokopedia — Insecure Direct Object Reference (IDOR) :

Dampaknya : informasi sensitif bocor ke publik dan tanpa harus melakukan login pun kita dapat mengakses https://kero.tokopedia.com/tracking/v1/{kurir}/{tracking number}.
Tokopedia — Misconfigured CORS (Cross Origin Resource Sharing) :
Lingkup yang terkena CORS :
Lingkup di atas merupakan susunan yang pada akhirnya saya mendapatkan beberapa informasi penting di rest api nya , namun sayang nya karena data yang tidak tampil (karena harus melakukan pengujian lebih dalam dan saya gak mau ambil resiko yang mengakibatkan kerugian pada seller)

7 comments:

  1. Replies
    1. baca-baca aja mas di medium atau cari di google tentang write up bug bounty. atau https://github.com/BugHunterID/HackerOneDB

      Delete
  2. buat di april 2019 masi kebuka ga ya? saya ga ada ngerti pemograman atau html dll,tp saya ada bukti bug di account saya...bug ny super fatal bgt sih..apakah dgn ngomong kyk gtu bs dpt reward???

    ReplyDelete
    Replies
    1. bisa baca panduanya di https://github.com/tokopedia/Bug-Bounty

      Delete
  3. Brlajar bug bounty udh brapa lama??

    ReplyDelete