Bug Bukalapak.com | Information Leakage - Phone Number
How I Found Bug Information leakage - Phone Number
Di Bulan ke 2 lalu di tahun 2018 ini saya menemukan bug di fitur baru bukalapak.com,
Yaitu Di Fitur Send Gifts Pulsa/ paket data, Dimana Dari bug Ini saya dapat melihat No Hp dan no hp belum ter verifikasi Akun Bukalapak lain,
Sikat Cerita Sebelum Saya menemukan bug ini saya membaca 1 artikel Di blog entah apa link nya saya lupa, Di artikel Tersebut Mengungkapkan Tentang Bug Facebook Dimana Pengiklan Dapat melihat no hp Akun facebook, dari Situ saya Terinspirasi Untuk mencari celah di beberapa Website tokopedia, Bukalapak, traveloka, Di akhir bulan ke 2 Saya menemukan Bug Tersebut Di Website Bukalapak.com yaitu Di Fitur Gifts to friends.
Url Vuln: https://m.bukalapak.com/data/new?funnel=friend-gift&package_id=250&recipient_id=(ID USER BL)
Poc :
1. edit url Vuln di atas, Edit Id user dengan Id target
2. Copy and paste Url Di address bar Bila transaksi di lanjutkan Berarti No Tlpon User tersebut sudah di verifikasi, bila belum kita akan di alihkan Ke beranda Bukalapak.com dan muncul Pesan Error Nomor Kosong
3. Ok Kita Lihat No Tlpon Target, bila transaksi di lanjutkan, langsung Saja CTRL + U / Tambahkan kan View-source: di depan url contoh view-source:https://m.bukalapak.com/data/new?funnel=friend-gift&package_id=250&recipient_id=12345678
Scroll ke bawah
Timeline :
• 11 - 02 - 2018 : Poc Send
• 12 - 02 - 2018 : reply Bug verifikasi
• 13 - 02 - 2018 : Bug Valid and Ready To Fix
• 16 - 02 - 2018 : Bug fixed
• 17 - 02 - 2018 : Reward di terima
Sebener nya sangat kecewa Dengan Bentuk reward Karna Berupa Marchandise, Sedangkan Bug Severity di nyatakan High Rish oleh pihak bukalapak,
Di Bulan ke 2 lalu di tahun 2018 ini saya menemukan bug di fitur baru bukalapak.com,
Yaitu Di Fitur Send Gifts Pulsa/ paket data, Dimana Dari bug Ini saya dapat melihat No Hp dan no hp belum ter verifikasi Akun Bukalapak lain,
Sikat Cerita Sebelum Saya menemukan bug ini saya membaca 1 artikel Di blog entah apa link nya saya lupa, Di artikel Tersebut Mengungkapkan Tentang Bug Facebook Dimana Pengiklan Dapat melihat no hp Akun facebook, dari Situ saya Terinspirasi Untuk mencari celah di beberapa Website tokopedia, Bukalapak, traveloka, Di akhir bulan ke 2 Saya menemukan Bug Tersebut Di Website Bukalapak.com yaitu Di Fitur Gifts to friends.
Url Vuln: https://m.bukalapak.com/data/new?funnel=friend-gift&package_id=250&recipient_id=(ID USER BL)
Poc :
1. edit url Vuln di atas, Edit Id user dengan Id target
2. Copy and paste Url Di address bar Bila transaksi di lanjutkan Berarti No Tlpon User tersebut sudah di verifikasi, bila belum kita akan di alihkan Ke beranda Bukalapak.com dan muncul Pesan Error Nomor Kosong
3. Ok Kita Lihat No Tlpon Target, bila transaksi di lanjutkan, langsung Saja CTRL + U / Tambahkan kan View-source: di depan url contoh view-source:https://m.bukalapak.com/data/new?funnel=friend-gift&package_id=250&recipient_id=12345678
Scroll ke bawah
Timeline :
• 11 - 02 - 2018 : Poc Send
• 12 - 02 - 2018 : reply Bug verifikasi
• 13 - 02 - 2018 : Bug Valid and Ready To Fix
• 16 - 02 - 2018 : Bug fixed
• 17 - 02 - 2018 : Reward di terima
Sebener nya sangat kecewa Dengan Bentuk reward Karna Berupa Marchandise, Sedangkan Bug Severity di nyatakan High Rish oleh pihak bukalapak,
Comments
Post a Comment