Hello Kali ini Saya Akan menunjukkan sedikit edukasi tentang Stealing User Data | Tokopedia Bug Bounty Vulnerability yang aku ambil dari Seseorang yang telah berhasil menemukan Tokopedia Vulnerability Tersebut.
Suatu hari ketika sedang bosan bermain game, aku tetapkan untuk mencari vulnerability pada tokopedia .
Mulai berburu bug pada domain utama Tokopedia.com , tapi sayangnya aku tidak menemukannya :( ,Jadi aku mencoba mencari pada domain lain , tujuan aku ialah domain mobile (m.tokopedia.com)
Berapa jam berburu hasilnya aku menemukan sesuatu yang menarik perhatian aku , Yapss. “GraphQL”
Saya menemukan endpoint graphql pada m.tokopedia.com , dibeberapa kawasan endpoint tersebut dipakai untuk melihat,ubah atau hapus data profile account dll.
Mencoba mengakses data pengguna lain dengan mengganti beberapa parameter dan berharap mendapat IDOR vulnerability, tetapi itu semua tidak work.
Disaat yang sama, aku mengecek http header yang akan di kirim kan . Pada bab “Origin” berisi https://m.tokopedia.com , dan pada bab respon header aku menemukan “Access-Control-Allow-Origin” dengan value sama menyerupai origin ketika request yaitu https://m.tokopedia.com .
Mencoba mengganti value dari origin dengan domain lain dan ternyata work.
Baca Juga : Jasa Pembuatan Kitchen Set Tebaru 2019
Access-Control-Allow-Origin pada respon menampilkan value yang sama dengan origin, Waaw !
Access-Control-Allow-Origin ialah respon header yang yang memungkin kan user untuk melihat data respon dengan domain yang diizinkan (Source: OWASP) , di tokopedia tidak ada pengecekan . maka yang berasal dari origin (manapun) sanggup mengakses.
Ini memungkinkan attacker mendapat data sensitif dari luar domain tokopedia itu sendiri ,dalam hal ini aku memakai localhost ,hsnya untuk teladan saja.
Untuk memastikannya kemudian aku menciptakan tools sederhana untuk mengambil data tersebut. Data yang akan aku ambil ialah name,email,phone number dll.
Untuk melihat tools sanggup disini > https://pastebin.com/raw/YsHaezbf .
Sukses mendapat data semua data sesuai http respon dari tokopedia,
dan untuk melihat hasil nya ialah pada file loguser.txt , yang aku simpan hanya beberapa data saja .
Dengan begitu korban yang mengunjungi malicious page yang telah di sisipi code secara tidak sadar akan tersimpan data nya. (jika dalam keadaan login di tokopedia .)
wuhh , sesudah berhasil menciptakan konsep attack kemudian aku melaporkan vulnerability ini ke tokopedia , it’s time to get the bounty.
Timeline
11 Jan 2018 : Saya melaporkan ke Tokopedia
11 Jan 2018 : Tokopedia memverifikasi
29 Jan 2018 : Bug diperbaiki
29 Jan 2018 : Tokopedia meminta data untuk reward
29 Jan 2018 : Saya menunjukkan data diri
14 Feb 2018 : Reward dikirim
Source : https://medium.com/@arifmukhlis/mencuri-data-pengguna-tokopedia-bug-bounty-52e86fa4c44e
Sumber https://mrwho-404.blogspot.com/
Suatu hari ketika sedang bosan bermain game, aku tetapkan untuk mencari vulnerability pada tokopedia .
Mulai berburu bug pada domain utama Tokopedia.com , tapi sayangnya aku tidak menemukannya :( ,Jadi aku mencoba mencari pada domain lain , tujuan aku ialah domain mobile (m.tokopedia.com)
Berapa jam berburu hasilnya aku menemukan sesuatu yang menarik perhatian aku , Yapss. “GraphQL”
Saya menemukan endpoint graphql pada m.tokopedia.com , dibeberapa kawasan endpoint tersebut dipakai untuk melihat,ubah atau hapus data profile account dll.
Mencoba mengakses data pengguna lain dengan mengganti beberapa parameter dan berharap mendapat IDOR vulnerability, tetapi itu semua tidak work.
Disaat yang sama, aku mengecek http header yang akan di kirim kan . Pada bab “Origin” berisi https://m.tokopedia.com , dan pada bab respon header aku menemukan “Access-Control-Allow-Origin” dengan value sama menyerupai origin ketika request yaitu https://m.tokopedia.com .
Mencoba mengganti value dari origin dengan domain lain dan ternyata work.
Baca Juga : Jasa Pembuatan Kitchen Set Tebaru 2019
Access-Control-Allow-Origin pada respon menampilkan value yang sama dengan origin, Waaw !
Access-Control-Allow-Origin ialah respon header yang yang memungkin kan user untuk melihat data respon dengan domain yang diizinkan (Source: OWASP) , di tokopedia tidak ada pengecekan . maka yang berasal dari origin (manapun) sanggup mengakses.
Ini memungkinkan attacker mendapat data sensitif dari luar domain tokopedia itu sendiri ,dalam hal ini aku memakai localhost ,hsnya untuk teladan saja.
Untuk memastikannya kemudian aku menciptakan tools sederhana untuk mengambil data tersebut. Data yang akan aku ambil ialah name,email,phone number dll.
Untuk melihat tools sanggup disini > https://pastebin.com/raw/YsHaezbf .
Sukses mendapat data semua data sesuai http respon dari tokopedia,
dan untuk melihat hasil nya ialah pada file loguser.txt , yang aku simpan hanya beberapa data saja .
Dengan begitu korban yang mengunjungi malicious page yang telah di sisipi code secara tidak sadar akan tersimpan data nya. (jika dalam keadaan login di tokopedia .)
wuhh , sesudah berhasil menciptakan konsep attack kemudian aku melaporkan vulnerability ini ke tokopedia , it’s time to get the bounty.
Timeline
11 Jan 2018 : Saya melaporkan ke Tokopedia
11 Jan 2018 : Tokopedia memverifikasi
29 Jan 2018 : Bug diperbaiki
29 Jan 2018 : Tokopedia meminta data untuk reward
29 Jan 2018 : Saya menunjukkan data diri
14 Feb 2018 : Reward dikirim
Source : https://medium.com/@arifmukhlis/mencuri-data-pengguna-tokopedia-bug-bounty-52e86fa4c44e
Sumber https://mrwho-404.blogspot.com/