Stored XSS
Tentu saja, yang pertama muncul di pikiran saya adalah Stored XSS, karena bucket ini di Host pada salah satu subdomain. Sebenarnya awalnya saya ingin menyerang sisi server, seperti melakukan query direktori, atau mungkin mencari celah untuk mengakses Local File, namun karena teringat bahwa subdomain ini tidak dimasukkan scope, saya fokus kepada impact yang bisa mempengaruhi user secara langsung.
Beruntung, ternyata Header set-cookie disetting menjadi seluruh subdomain, sehingga session hijacking menggunakan stored XSS bisa dilakukan. Halaman PoC saya upload pada bucket dan berhasil diakses melalui URL tersebut, javascript tereksekusi.
Phising
Phising, jika dilakukan pada domain yang terpercaya, bisa menjadi attack vector yang cukup kuat. Saya kemudian mendownload halaman utama, kemudian mengupload ulang pada bucket tersebut, setidaknya cukup sebagai PoC halaman Phising.
Seperti biasa, saya menamai halaman-halaman tersebut secara random sehingga kecil kemungkinan user untuk
mengakses nya secara tidak sengaja dan mempengaruhi user experience.
Saya kemudian langsung mengirimkan report kepada email team security beserta PoC yang saya buat.
Walaupun subdomain ini tidak dimasukkan scope, vulnerability ini cukup fatal sehingga menurut saya bisa dijadikan pertimbangan.
Saya agak terkejut dengan respon tim security web ini yang sangat cepat, tidak sampai setengah jam, email saya sudah dibalas. Padahal waktu sudah diluar jam kerja.
Timeline :
- 13 Agustus 2019 : Report terkirim. Sekian menit kemudian, email dibalas oleh team security, mengucapkan terima kasih dan meminta saya untuk mengupload file dengan nama tertentu sesuai permintaan mereka melalui celah tersebut, untuk mempermudah verifikasi bahwa bug tersebut memang temuan saya. Setelah saya upload, saya membalas email tersebut beserta URL file yang diminta.
- 14 Agustus 2019 : Team security menyatakan bahwa temuan saya valid dan berhak mendapatkan bounty dengan kategori Missconfiguration with High Severity. Nice! saya diminta mengirimkan data diri untuk keperluan pemberian imbalan dan untuk dicantumkan pada halaman Hall of Fame mereka.
- 14 Agustus 2019 : Team security menyatakan bahwa temuan saya valid dan berhak mendapatkan bounty dengan kategori Missconfiguration with High Severity. Nice! saya diminta mengirimkan data diri untuk keperluan pemberian imbalan dan untuk dicantumkan pada halaman Hall of Fame mereka.
Halaman 404 yang berujung pada URL takeover dan stored XSS pada k******.com (Part 2)
4/
5
Oleh
Snowking
