Assalamu’alaikum wr. wb.
Salam semangat untuk sobat progress dimanapun anda berada, kembali lagi bersama saya rootbakar yang akan berbagi postingan-postingan menarik terkait Bug Bounty.
Oke pada kesempatan yang baik kali ini saya akan membagikan postingan terkait bug ATO atau yang lebih dikenal dengan Account Takeover. Pasti sobat progress bertanya kan apa sih account takeover itu…???
Account Takeover sendiri merupakan sebuah serangan yang memungkinkan seseorang untuk mengambil alih akun orang lain dengan berbagai cara yang tersedia di internet, bisa dengan menggunakan brute force, idor, bypass authentification dan lain-lain. Lebih jelas sobat progress bisa membaca beberapa tulisan lain di bawah ini:
- https://owasp.org/www-community/attacks/Credential_stuffing
- https://www.infisecure.com/threats/account-takeover-prevention
- https://www.infisecure.com/blogs/account-takeover-protection
- https://datadome.co/bot-management-protection/credential-stuffing-credential-cracking-and-account-takeover-how-to-protect-your-e-commerce-website/
SUMMARY
Sedikit penjelasan terkait kerentanan yang saya temukan ini yaitu bagaimana seorang attacker dengan mudahnya mengambil alih akun orang lain hanya dengan mengganti nomor handphone miliknya ke nomor handphone milik user lain yang terdaftar dalam aplikasi atau website tersebut. Parameter yang vulnerable yaitu Phone.
Nah fungsi nomor handphone disini adalah sebagai salah satu field pengenal seorang user dan pembeda antara user yang satu dengan user yang lainnya. Namun yang unik disini adalah sistem tidak mengenali dengan begitu baik request yang dikirimkan oleh seorang malicious user untuk perubahan kata sandi. Sistem hanya mengenali nomor handphone dan melakukan verifikasi melalui kode OTP yang dikirimkan ke nomor handphone tersebut namun tidak mengenali jika setelah tahap OTP seorang malicious user kembali mengganti nomor handphone miliknya ke nomor handphone milik user lain tanpa adanya verifikasi pengiriman OTP kembali.
Akibatnya seorang malicous user dengan mudah melakukan pergantian password untuk akun user mana saja dengan sangat mudah dan leluasa yang pada akhirnya akun tersebut berhasil diambil alih, tanpa interaksi dari user yang bersangkutan sedikitpun, tentunya sangat berbahaya bukan. Mengingat ini merupakan sebuah teknik hacking yang berdampak sangat luas terhadap kredibilitas sebuah perusahaan atau institusi khususnya jika perusahaan tersebut bergerak di bidang e-commerce.
Masih bingung…?? yowes langsung lihat poc di bawah ini yah untuk lebih detailnya…
POC
1. Masuk ke aplikasi redacted (vulnerable app) pada perangkat android anda
2. Masuk ke menu Login dan klik Forgot Password
3. Masukkan nomor handphone (attacker)
4. Masukkan kode OTP yang dikirimkan
5. Secara otomatis aplikasi akan meminta anda untuk memasukkan kata sandi yang baru
6. Intercept dengan menggunakan Burp Suite
7. Klik Submit
8. Pada saat data request di tampilkan pada Burp Suite anda dapat melakukan perubahan pada tahap ini dengan mengganti value yang ada pada phone parameter dari nomor handphone attacker ganti ke nomor handphone milik victim
9. Klik Forward pada Burp Suite dan lihat response status adalah 200 itu artinya password victim berhasil dirubah dan akun berhasil di ambil alih (Takeover Account)
SCREENSHOT
IMPACT
Mengambil alih akun user lain
TIMELINE
- Report: 27 September 2020
- Rewards: On Proccess
- Status: Resolved
Terimakasih sudah menyempatkan untuk membaca postingan saya ini semoga menginspirasi dan membantu semua sobat progress dalam menemukan bug-bug serupa pada sebuah platform bug bounty dan Jangan lupa sempatkan sedikit waktunya untuk subscribe youtube kami yah di Progress28. Salam semangat dan Happy Hunting.