Assalamu’alaikum Wr. Wb.
Salam sehat dan sukses untuk semuanya para bug hunter dimana pun anda berada. Kembali lagi bersama saya rootbakar. Pada kesempatan yang baik kali ini izinkan saya untuk membagikan sebuah artikel temuan bug pada salah satu program yang ada di platform bug bounty Indonesia. Oke biar gk terlalu basa basi langsung aja yah cek bug seperti apa sih yang saya temukan dan bagaimana dampaknya. Check this out…..
RESUME:
Bug ini saya temukan pada fitur yang menampilkan data karyawan, dan dapat mengizinkan malicious user untuk melihat nomor karyawan dari user lainnya. Nantinya seorang malicious user dapat menggunakan nomor karyawan tersebut untuk login ke sistem.
Pada case kali ini, penggunaan username pada nomor karyawan ternyata menyimpan 6 digit password di dalamnya. Contoh misalnya user A dengan nomor karyawan yaitu 123456789, password yang digunakan pada nomor karyawan tersebut yaitu 456789.
Pada testing kali ini dilakukan secara white box dan diberikan data awal yaitu username dan password.
IMPACT:
Pengambil alihan akun.
PROOF OF CONCEPT:
- Login ke akun karyawan yang diberikan oleh pihak platform yaitu
No Karyawan: 123456789
Password: 456789
Kode Bagian: 1234
Nama Bagian: Bug Hunter - Setelah berhasil login masuk ke menu Update Tiket (https://blablabla.redacted.bla.bla/contact-care/update)
- Masuk ke Tindak Lanjut
Tinggal pilih saja user karyawan mana yang mau di lihat dan masuk ke akun milik user karyawan tersebut, pada contoh saya akan masuk ke akun milik Root Bakar dengan username 234567890 dan password 567890 - Login dan berhasil masuk ke akun karyawan Root Bakar dengan sangat mudah
TIMELINE:
- Report: Undisclosed
- Triage: Undisclosed (P1 Severity)
- Fix: Resolved
- Rewards: Undisclosed
Demikian writeup yang dapat saya tulis dan saya bagikan pada kesempatan kali ini, semoga tulisan ini dapat bermanfaat dan memotivasi rekan-rekan bug hunter yang lain. Jika ada kesalahan atau kekurangan pada penulisan kali ini saya sangat mengharapkan kritik dan masukan dari rekan-rekan bug hunter semua.
Salam sehat dan sukses untuk kita semua.
Best Regards,
rootbakar
Wassalamu’alaikum Wr. Wb.
Subscribe rootbakar official for more info