Assalamu’alaikum Wr. Wb.

Salam sehat dan sukses untuk semuanya para bug hunter dimana pun anda berada. Kembali lagi bersama saya rootbakar. Pada kesempatan yang baik kali ini izinkan saya untuk membagikan sebuah artikel temuan bug di private program salah satu platform di Indonesia. Oke biar gk terlalu basa basi langsung aja yah cek bug seperti apa sih yang saya temukan dan bagaimana dampaknya. Check this out…..

RESUME:

Bug ini saya temukan di fitur register, dimana ketika seorang user mengirimkan request registrasi berupa email dan password, nantinya di backend akan melakukan pengecekan apakah alamat email tersebut sudah digunakan sebelumnya atau tidak, jika sudah digunakan maka akan muncul warning yaitu Maaf, Email/Nomor Telepon/Password Tidak Valid atau sudah terpakai.

Namun terdapat sebuah endpoint yang memvalidasi current email tersebut dan ketika request dikirimkan melalui endpoint tersebut dengan memasukkan alamat email apapun, maka jika email tersebut tersedia di database nantinya pada sisi response akan memunculkan data berupa nomor handphone yang digunakan oleh email tersebut.

IMPACT:

Kerentanan ini memungkinkan seorang malicious user mengenumerasi nomor handphone dari semua user yang terdaftar pada sistem.

PROOF OF CONCEPT:

  1. Masuk ke menu pendaftaran
  2. Masukan email dan password untuk registrasi
  3. Pada kesempatan kali ini saya menggunakan email saya yang sudah terdaftar sebelumnya yaitu email rootbakar@gmail.com
  4. Intercept dengan menggunakan Burp Suite (klik forward hingga mendapatkan vulnerable endpoint)
  5. Ubah parameter email dengan email lain yang ingin dilihat nomor handphonenya (melalui vulnerable endpoint)
  6. Pada percobaan ini saya menggunakan dua email saya yang lain yaitu rootbakar1@gmail.com dan rootbakar2@gmail.com
  7. Hasilnya nomor handphone dari kedua email tersebut berhasil terlihat dan dapat dipastikan kedua email tersebut valid

TIMELINE:

  • Report: November, 2022
  • Triage: November, 2022 (P2 Severity)
  • Fix: On Proccess
  • Rewards: Desember, 2022

Demikian writeup yang dapat saya tulis dan saya bagikan pada kesempatan kali ini, semoga tulisan ini dapat bermanfaat dan memotivasi rekan-rekan bug hunter yang lain. Jika ada kesalahan atau kekurangan pada penulisan kali ini saya sangat mengharapkan kritik dan masukan dari rekan-rekan bug hunter semua.

Salam sehat dan sukses untuk kita semua.

Best Regards,

rootbakar

Wassalamu’alaikum Wr. Wb.

2 Replies to “IDOR – User Phone Number Leak”

  1. Assalamu’alaikum,
    Selamat Pagi,
    Pak klo mau belajar bug bounty mulai dari mana??
    Terimakasih atas bimbingannya.

    Salam,
    Johan

    1. waalaikumsalam bg,
      maaf baru bales, bisa dari belajar pemrograman dasar, lanjut baca2 atau liat video write up orang bg, abis itu implementasi ke program / website yg buka bug bounty bg… dan harus ada target pencapaian bg biar semangat nyarinya hehehe

Leave a Reply

Your email address will not be published. Required fields are marked *