Journey Of My First Bug Bounty.
Halo semuanya perkenalkan nama saya Roberto Nunes Saya Dari TIMOR-LESTE ini adalah WriteUp pertama saya di medium.com, sebelumnya saya ingin meminta maaf jika ada kekurangan apapun pada artikel ini.
Kali ini yang saya bahas adalah bagaimana saya menemukan bug CSRF pada website Jamtangan.com.
Jamtangan.com adalah situs jual jam tangan online, ohh yahh Cerita sedikit hari itu pada tanggal 24 Maret, saya melihat Teman saya Zaenal post story di WA bawah situs jamtangan.com Open Bug Bounty Program. Selepas itu niat saya ingin langsung test web tersebut.
Catatan: Jika sudah tau apa itu CSRF lewati “Apa itu CSRF?”
Apa itu CSRF?
CSRF(Cross Site Request Forgery) adalah salah satu jenis serangan yang memaksa pengguna untuk melakukan tindakan yang tidak diinginkan pengguna pada aplikasi web saat pengguna sedang log in.Contohnya seperti ini misalnya ada suatu website yang memiliki fitur yang dapat mentransfer uang ke rekening seseorang,karena tidak ada proteksi seperti csrf token, penyerang memanfaatkan fitur tersebut dengan memberikan link ke korban yang berisi kode html dimana saat linknya diklik akan mengirim uang ke rekening penyerang asalkan korban dalam keadaan login di website tersebut.Untuk detailnya bisa baca disini,
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
Setelah otak atik saya temukan CSRF pada edit nama, disitu tidak ada token user-specific rahasia yang ditambahkan ke cookie.
Duhh awto senang Mamanq… Setelah itu gk nyampe 1 jam saya Langsung dihubungi pihak DEV, dan ngasih Reward.
kalian bisa test langsung Web nya gansis, ini linknya.
https://bantuan.jamtangan.com/hc/id/articles/360026084611-Pelaporan-Bug-Bounty
Untuk video POC nya kalian bisa nonton di channel saya https://youtu.be/1qpB6FtbiUY
Timeline :
25 maret 2020 (11:35): Report Bug
26 maret 2020 (11:53) : Reward Diterima
Halo semuanya perkenalkan nama saya Roberto Nunes Saya Dari TIMOR-LESTE ini adalah WriteUp pertama saya di medium.com, sebelumnya saya ingin meminta maaf jika ada kekurangan apapun pada artikel ini.
Kali ini yang saya bahas adalah bagaimana saya menemukan bug CSRF pada website Jamtangan.com.
Jamtangan.com adalah situs jual jam tangan online, ohh yahh Cerita sedikit hari itu pada tanggal 24 Maret, saya melihat Teman saya Zaenal post story di WA bawah situs jamtangan.com Open Bug Bounty Program. Selepas itu niat saya ingin langsung test web tersebut.
Catatan: Jika sudah tau apa itu CSRF lewati “Apa itu CSRF?”
Apa itu CSRF?
CSRF(Cross Site Request Forgery) adalah salah satu jenis serangan yang memaksa pengguna untuk melakukan tindakan yang tidak diinginkan pengguna pada aplikasi web saat pengguna sedang log in.Contohnya seperti ini misalnya ada suatu website yang memiliki fitur yang dapat mentransfer uang ke rekening seseorang,karena tidak ada proteksi seperti csrf token, penyerang memanfaatkan fitur tersebut dengan memberikan link ke korban yang berisi kode html dimana saat linknya diklik akan mengirim uang ke rekening penyerang asalkan korban dalam keadaan login di website tersebut.Untuk detailnya bisa baca disini,
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
Setelah otak atik saya temukan CSRF pada edit nama, disitu tidak ada token user-specific rahasia yang ditambahkan ke cookie.
Setelah itu mamanq, saya langsung submit laporan ke pihak dev, singkat cerita keesokan harinya tepat 24 jam, saya mencoba hubungi kembali CS via Chat Box
.
Duhh awto senang Mamanq… Setelah itu gk nyampe 1 jam saya Langsung dihubungi pihak DEV, dan ngasih Reward.
kalian bisa test langsung Web nya gansis, ini linknya.
https://bantuan.jamtangan.com/hc/id/articles/360026084611-Pelaporan-Bug-Bounty
Untuk video POC nya kalian bisa nonton di channel saya https://youtu.be/1qpB6FtbiUY
Timeline :
25 maret 2020 (11:35): Report Bug
26 maret 2020 (11:53) : Reward Diterima
