Posts

Showing posts from October, 2017

Bug Bukalapak.com | Bug Able to Send Message Using CSRF And Bypass Filter Send Message (350 text)

bug Bukalapak.com | Bug Able To Send Message Using CSRF And Bypass Filter Send Message ( 350 text )  Kali Ini Saya menemukan 2 Bug Di Fitur Kirim Pesan Bukalapak, Bug Ini memungkinkan Saya Untuk Mengirim Pesan Lebih dari 350 karakter text Yang Di Batasi Bukalapak, Bug Ini Terjadi Karena Tidak ada nya Filter Di BackEnd Atau Siapa Saja Yang request Melalui API Bukalapak Atau  Ke Server Langsung Tidak Akan Terkena Filter, Namun Sayang nya Bug Ini di anggap Invalid Bug Mungkin Karena Less impact atau Cuman berpengaruh Kepada Saya sendiri, namun Saya Akan Share PoC nya Untuk Pembelajaran Di Sini PoC : Script CSRF : <div class='message-chat-form' id='message_chat_form'> <form class="js-td__message-submit" novalidate="novalidate" id="new_messages_message" action="/messages" accept-charset="UTF-8" method="post"><input name="utf8" type="hidden" value="&#x2713;&

Bug Blibli.com | Bug XSS (Cross - Site - Scripting)

Image
Bug blibli.com | Bug XSS (CROSS-SITE-SCRIPTING)  selamat Malam, setelah menunggu sekian lama akhirnya bug ini telah di fix oleh team IT Blibli.com,  Blibli.com adalah Web e-commerce Indonesia yang lumayan banyak di kunjungi oleh para pembeli barang lewat Online, namun saat Bug ini dilaporkan pertama kali blibli belum Mengadakan Program Bug bounty, POC : 1. Login ke Akun blibli anda atau tidak pun tidak apa-apa 2. Langsung ke https://livechat.blibli.com/chatserver/chatwindowmobile.aspx?planId=867&siteid=1000185 3. Isi nama anda dengan script XSS : </ script>"><script >alert(document.  Domain);</ script> (Hapus semua jarak yang ada di script XSS) 4. Isi form yang lainnya klik mulai chat 5. Setelah kita diarahkan di sesi chat klik akhiri sesi / klik tanpa X bila lewat Handphone 6. Setelah berakhir kembali lagi ke https://livechat.blibli.com/chatserver/chatwindowmobile.aspx?planId=867&siteid=1000185 Timeline : • 10 - 07 - 2017 : Report Sen

Bug Bukalapak.com | Able To Send Message After Logout

BUG BUKALAPAK.COM | ABLE TO SEND MESSAGE AFTER LOGOUT Hay,  Kali ini saya akan share bug Able to send message after logout di Bukalapak.com, berhubung Cuaca Tidak Bagus Saya tidak banyak basa basi Poc : 1. Buka 2 Tab setelah Login Di Bukalapak.com 2. Tab 1 Cari seller dan Kirim pesan test 3. Tab ke 2 klik logout dan tab ke 1 Kirim pesan setelah tab ke 2 logout biasa nya Box pesan muncul di sebelah kiri bawah 4. Reload Tab ke 1 Dan login kembali kemudian cek pesan terkirim Sayang nya Bug ini juga dinyatakan Invalid dengan alasan yang tidak saya mengerti Timeline : • 01 - 09 - 2017 - Report Send • 01 - 09 - 2017 - Poc Send • 01 - 09 - 2017 - Respon IT bukalapak • 01 - 09 - 2017 - Bug Invalid

Bug Bukalapak.com | Able To Delete Friend After Logout

BUG BUKALAPAK.COM |ABLE TO DELETE FRIEND AFTER LOGOUT Hay Seperti biasa Setelah Saya Menemukan Bug dan Bug Tersebut Di Fix saya Share PoC nya di blog Ini, sebenernya Saya Ga Tertarik Untuk Menulis Blog namun Saya pikir Ini perlu karna mungkin Buat bahan Pembelajaran, oke langsung aja Url Vuln :  https://m.bukalapak.com/ teman?from=user_panel Poc : 1, buka 2 Tab terus login di  bukalapak.com 2, tab 1 Buka  https://m.bukalapak.com/ teman?from=user_panel  dan tab 2 klik logout 3, tab 1 Klik hapus Teman setelah tab ke 2 Logout 4, dan setelah teman di hapus Login kembali di tab ke 2 dan liat di  https://m.bukalapak.com/ teman?from=user_panel  teman terhapus Sayang nya bug Ini tidak ada Hadiah entah kenapa bug ini dinyatakan Invalid Namun Setelah beberapa Bulan Bug Ini di fix oleh tim IT bukalapak namun Kita Positif thinking aja :D Timeline : • 01 - 09 - 2017 - Bug Report • 02 - 09 - 2017 - POC Send • 03 - 09 - 2017 - Respon IT Bukalapak • 03 - 09 - 2017