Assalamu’alaikum wr. wb.
Salam semangat untuk sobat progress dimanapun anda berada, kembali lagi bersama saya rootbakar yang akan berbagi postingan-postingan menarik terkait Bug Bounty.
Oke pada kesempatan yang baik kali ini saya akan membagikan postingan terkait bug Unvalidated redirect and forward atau yang lebih dikenal dengan Open Redirect. Pasti sobat progress bertanya kan apa sih open redirect itu…???
Open Redirect sendiri merupakan sebuah serangan yang memungkinkan seseorang untuk mengalihkan user lain ke halaman website lain dengan menumpangi website yang vulnerable terhadap open redirect. Website yang digunakan untuk pengalihan pada umunya yaitu website phishing, malicious site, atau website lain yang sifatnya berbahaya.
Open Redirect juga bisa dieskalasi untuk mencuri token, XSS dan lain-lain yang pada umumnya membutuhkan teknik tambahan sesuai dengan website dan method pada jenis open redirect yang di dapatkan, apakah itu post method atau get method.
Lebih jelas sobat progress bisa membaca beberapa tulisan lain di bawah ini yang menjelaskan tentang Open Redirect:
- https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet.html
- https://portswigger.net/kb/issues/00500100_open-redirection-reflected
- https://cwe.mitre.org/data/definitions/601.html
SUMMARY
Sedikit penjelasan terkait kerentanan yang saya temukan ini yaitu bagaimana seorang attacker dengan mudahnya mengalihkan user lain ke website lain yang mungkin sudah di design sedemikian rupa sesuai dengan kebutuhan attacker.
Nah yang menarik disini yaitu saya berhasil membypass open redirect yang sudah di fix yang sebelumnya saya laporkan di salah satu private program yang ada di Bugcrowd.
Pada laporan pertama saya menggunakan payload “@”untuk mengalihkan user lain ke website yang sudah saya tentukan sebelumnya, pada percobaan kali ini saya memilih website yang umumnya digunakan untuk serangan open redirect yaitu evilzone.org. Report ini membuahkan hasil dan saya diberikan reward sebesar $200.
Selang beberapa bulan setelah bug di fix oleh pihak pemilik program saya kembali melaporkan bug yang sama pada enpoint yang sama pula dengan cara yang unik yaitu menambah satu “@” lagi menjadi seperti ini “@@” kemudian di ikuti website evilzone.org.
Okay lebih jelas silahkan lihat poc di bawah ini…..
POC
1. Attacker mengirimkan link https://redacted.com/login/update?redirect=https://redected.com@evilzone.org pada user yang di targetkan
2. Ketika user mengakses link tersebut maka akan tampil halaman website redacted.com
3. Terdapat tombol GOT IT yang dimana jika user mengklik tombol GOT IT tersebut secara otomatis user akan dialihkan ke halaman website evilzone.org. Untuk report kedua saya hanya melakukan perubahan pada
https://redected.com@evilzone.org
menjadi
https://redected.com@@evilzone.org dan user kembali berhasil di alihkan ke website evilzone.org tentunya setelah mengklik tombol GOT IT yang ada pada website. Namun sayangnya pada report yang kedua ini duplicate……
SCREENSHOT
IMPACT
Mengalihkan user ke website lain atau malicious site
Terimakasih sudah menyempatkan untuk membaca postingan saya ini semoga menginspirasi dan membantu kalian dalam menemukan bug-bug serupa pada sebuah platform bug bounty dan Jangan lupa sempatkan sedikit waktunya untuk subscribe youtube kami yah di Progress28. Salam semangat dan Happy Hunting