Bug Bounty XSS Hunter in Tokopedia Update - kali ini saya akan membahas tentang bug pada e-commerce indonesia yaitu tokopedia, tanggal 4 agustus 2019 saya telah menemukan bug xss pada tokopedia.
tapi sebelumnya yang belum tahu apa itu xss bisa kalian simak disini
seketika saya berniat untuk mencari bug pada tokopedia dan pada akhirnya saya menemukan bug xss tersebut di bagian seller add voucher pada bagian nama voucher saya isi dengan payload dibawah ini :
tapi sebelumnya yang belum tahu apa itu xss bisa kalian simak disini
Baca Juga : Apa Itu XSS dan Cara Exploitasi Bug XSS
seketika saya berniat untuk mencari bug pada tokopedia dan pada akhirnya saya menemukan bug xss tersebut di bagian seller add voucher pada bagian nama voucher saya isi dengan payload dibawah ini :
<img src=xss onerror=alert(1)>
karna pada bagian nama voucher hanya bisa di isi dengan 30 huruf dan angka, saya mengira payload ini sangat cocok. note : mohon maaf gambar hilang bug sudah di patch
setelah saya tempel payload tersebut ternyata ter-eksekusi payload tersebut. saya langsung membuat laporan terkait bug tersebut.
saya tidak tinggal diam saya langsung mencari bug di halaman lain target saya kali ini adalah pada bagian info seller :
saya menggunakan xss hunter untuk mengexploitasi halaman tersebut dan tidak lama kemudian setelah saya menempelkan payload xss tersebut ternyata tereksekusi di xss hunter.
setelah saya tempel payload tersebut ternyata ter-eksekusi payload tersebut. saya langsung membuat laporan terkait bug tersebut.
Baca Juga : Materi Peretasan Satelit Oleh Jim Geovedi
saya tidak tinggal diam saya langsung mencari bug di halaman lain target saya kali ini adalah pada bagian info seller :
Vulnerable Page URL : https://seller.tokopedia.com/settings/info#
saya menggunakan xss hunter untuk mengexploitasi halaman tersebut dan tidak lama kemudian setelah saya menempelkan payload xss tersebut ternyata tereksekusi di xss hunter.
 |
| Bug Bounty XSS Hunter in Tokopedia Update |
setelah itu saya kembali ke halaman estalase pada halaman tersebut saya iseng dengan menempelkan payload xss dari xss hunter pada bagian penambahan estalase, ternyata payload saya tereksekusi lagi pada xss hunter tersebut.
 |
| Bug Bounty Self Xss in Tokopedia 2019 |
berikut adalah gambar payload fire pada xss hunter saya :
 |
| XSS Hunter |
saya langsung report bug tersebut dengan gmail yang berbeda, setelah beberapa hari menunggu balasan dari IT Security Tokopedia tapi tak kunjung dibalas, tanggal 6 Agustus 2019 terdapat balasan dari IT security tokopedia pada kedua email saya.
dan bug vulnerability yang saya temukan semua ternyata masuk kategori Out Of Scope yaitu Self XSS yang artinya tidak ada dampak apapun pada pengguna lain atau user lain.
Report Time :
- 1 Agustus 2019 15.41 ( Report Bug I )
- 4 Agustus 2019 04.45 ( Report Bug II )
- 6 Agustus 2019 10.27 ( Report Diterima keduanya )
- Bug dinyatakan Out Of Scope Yaitu Self XSS
mungkin sekian pengalaman mimin, semoga yang baca dapat menginspirasi agar menjadi bug hunter yang kuat dan menjadikan pembelajar, mohon maaf jika ada kesalahan dalam penulisan ini. tunggu artikel selanjutnya see you!