Buat anak kok coba-coba…
Halo, kali ini saya akan bercerita tentang vulnerability yang saya temukan di website ecommerce dari luar negeri, yaitu v*******.com (Private Program). Setelah selama beberapa waktu mengutak-atik fitur website tersebut menggunakan burp, saya sampai pada fitur untuk memasukkan kupon diskon.
Disini saya menemukan hal yang menarik, ketika mencoba memasukkan kupon dan mendapat pesan error karena kupon tersebut tidak valid.
Ternyata input yang saya masukkan langsung ditampilkan pada pesan errornya, saya langsung berpikir fitur ini mungkin bisa digunakan sebagai celah reflected xss jika tidak di sanitasi dengan baik. Saya kemudian mencoba memasukkan payload mentah sebagai percobaan pertama, yaitu
<script>alert(xss);</script>
Script tersebut tidak tereksekusi, namun pesan errornya menjadi seperti ini :
Hmm, aneh, input yang saya masukkan tidak ditampilkan. Saya kemudian mencoba melakukan inspect element pada halaman tersebut, ternyata benar, input yang saya masukkan ada dan dirender sebagai HTML, berarti benar dugaan saya, input kode kupon ini tidak tersanitasi dengan baik dan berpotensi vulnerable dengan reflected xss.
Karena payload yang saya masukkan tidak tereksekusi, saya mencoba menggunakan payload-payload lain dan menemukan beberapa yang bisa digunakan, salah satunya adalah
<IMG SRC=/ onerror=”alert(‘XSS CUY!’)”></img>
Vulnerability ini lumayan berbahaya, karena bisa digunakan untuk menipu pengguna awam dengan iming-iming kupon gratis dsb. untuk mencuri cookie sehingga penyerang bisa melakukan sesuatu atas nama user tersebut.
 |
| document.cookie |
Timeline :
8 April 2019 – Vulnerability dilaporkan
12 April 2019 – Ditandai sebagai duplikat karena sudah terlebih dahulu dilaporkan diluar program, dan sedang dalam proses perbaikan
Reflected XSS pada fitur diskon vo****.com
4/
5
Oleh
Snowking
