Halo,
Kemarin karena bosan, saya melakukan pentest pada website dari sebuah private program, dan menemukan suatu hal yang menarik untuk ditulis disini yaitu text-based injection atau content spoofing pada halaman login.
Memang bug ini tidak begitu fatal. Kita hanya bisa melakukan inject text pada halaman web tersebut, tidak bisa memasukkan kode HTML, apalagi script XSS, walaupun belum pasti karena belum saya tes lebih lanjut.
Tapi bicara tentang security, sekecil apapun bug menurut saya tidak bisa diremehkan, karena menyangkut keamanan dan privasi user.
Ketika saya melakukan crawling pada halaman tersebut, saya menemukan sebuah parameter yaitu 'errorMessage' yang bisa kita ubah, dan ternyata direfleksikan pada halaman login tersebut.
Setelah mencoba beberapa payload, parameter tersebut sepertinya tidak bisa dimasuki kode HTML ataupun Script JS, sehingga saya memutuskan untuk melaporkan saja langsung sebagai text-based injection. Mungkin nanti akan saya coba lagi untuk mencari celah HTML injection atau XSS di lain hari.
Skenarionya seperti ini, bayangkan penyerang memanfaatkan parameter tersebut untuk memasukkan teks seperti "Untuk alasan keamanan, akun anda telah diblokir. Silahkan hubungi penyerang@email.com untuk membuka blokir".
Pengguna awam akan percaya pada instruksi tersebut karena halaman web yang diakses memiliki domain asli yang dapat dipercaya, apalagi pesan tersebut muncul pada halaman login, membuat kesan bahwa user tersebut tidak bisa login.
Setelah saya coba pun, user yang sudah login tetap bisa mengakses halaman tersebut, tidak di redirect ke dashboard dan semacamnya. Sehingga tingkat bahaya nya meningkat.
Gambar menyusul.
15 Juni 2019 - Bug dilaporkan.
Content spoofing (text-based injection) pada halaman login c******.io
4/
5
Oleh
Snowking