Assalamu’alaikum Wr. Wb.

Salam sehat dan sukses untuk semuanya para bug hunter dimana pun anda berada. Kembali lagi bersama saya rootbakar. Pada kesempatan yang baik kali ini izinkan saya untuk membagikan sebuah artikel temuan bug di program salah satu platform di Indonesia.

Oke biar gk terlalu basa basi langsung aja yah cek bug seperti apa sih yang saya temukan dan bagaimana dampaknya. Check this out…..

 

RESUME:

Bug ini saya temukan di fitur login

Login Form Vector Art, Icons, and Graphics for Free Download
login ilustration source: https://www.vecteezy.com/free-vector/login-form

 

Pada saat seorang malicious user melakukan kesalahan login dengan memasukkan password yg salah sebanyak mungkin (pada percobaan kali ini saya melakukan kesalahan password sebanyak 100 kali dengan intruder di Burp Suite) dengan menggunakan salah satu username/email yang terdaftar, maka semua pengguna lainnya yang terdaftar pada sistem juga akan terdampak yaitu akun di blokir sementara yaitu kurang lebih 10 menit. 

 

IMPACT:

Semua akun yang ada di database / sistem terblokir sementara dan tidak dapat digunakan untuk login selama rentan waktu kurang lebih 10 menit.

How to Recover Temporarily-banned Instagram Account - Hongkiat
warning ilustration source image https://www.hongkiat.com/blog/how-to-recover-instagram-temporarily-block/

 

PROOF OF CONCEPT:

  1. Kunjungi halaman login
  2. Masukkan username dan password
  3. Intercept dengan menggunakan burp suite
  4. Kirim request ke intruder
  5. Lakukan brute pada parameter password
  6. Saya mencoba melakukan kesalahan memasukkan password sebanyak 100 kali lebih untuk akun rootbakar@redacted.com
  7. Setelah 100 kali kesalahan password pada akun rootbakar@redacted.com tersebut, beberapa akun lainnya yaitu akun rootbakarvictim@redacted.com, rootbakarattacker@redacted.com, progerss28@redacted.com, dan lainnya juga ikut terblokir

 

TIMELINE:

  • Report: Desember, 2022
  • Triage: Desember, 2022 (P2 Severity)
  • Fix: Desember, 2022
  • Rewards: Desember, 2022

 

Demikian writeup yang dapat saya tulis dan saya bagikan pada kesempatan kali ini, semoga tulisan ini dapat bermanfaat dan memotivasi rekan-rekan bug hunter yang lain. Jika ada kesalahan atau kekurangan pada penulisan kali ini saya sangat mengharapkan kritik dan masukan dari rekan-rekan bug hunter semua.

 

Salam sehat dan sukses untuk kita semua.

Best Regards,

rootbakar

 

Wassalamu’alaikum Wr. Wb.

 

By: rootbakarPosted on Categories : Categories : Bug Bounty, Redstorm, Write UpTags:

Leave a Reply

Your email address will not be published. Required fields are marked *