Bug XSS dan Misconfiguration di RedDoorz
Sebelum saya memulai disini saya akan sedikit memberitahu, bahwa yang saya lakukan ini hanya untuk mengedukasi pihak RedDoorz dan pembaca, dan sampai saat artikel ini dibuat bug masih ada dan belum dilakukan mitigasi dari saat saya melakukan pelaporan pada pihak RedDoorz serta tidak mendapatkan respon ketika saya akan memposting temuan ini.
Harapan saya pembaca setelah mengetahui bug tersebut tidak memanfaatkanya untuk hal-hal yang melanggar UU ITE, karena saya tidak bertanggung jawab atas apa yang terjadi pada pembaca yang memanfaatkan celah ini.
BUG XSS
Hal pertama yang saya lakukan ketika menemukan bug XSS yaitu:
1. Melakukan test pada kolom pencarian hotel seperti dibawah ini.
"></sCriPt a>JakartaJika hasilnya seperti ini, berarti vuln untuk di lanjutkan XSS.
BUG Misconfiguration
Kita berhasil untuk bug pertama sekarang kita ke bug kedua yaitu Misconfiguration pada OTP Register, jadi kita akan membypass OTP register.
Saya disini menggunakan nomer telpon random dan email random, jadi tanpa adanya verifikasi OTP saya dapat membuat akun didalam website RedDoorz.
Karena metodenya yang cukup banyak jadi pembaca dapat melihat video POC saya dibawah ini.
Belum ada Komentar untuk "Bug XSS dan Misconfiguration di RedDoorz"
Posting Komentar