Assalamu’alaikum Wr. Wb.

Salam sehat dan sukses untuk semuanya para bug hunter dimana pun anda berada. Kembali lagi bersama saya rootbakar. Pada kesempatan yang baik kali ini izinkan saya untuk membagikan sebuah artikel temuan bug pada salah satu program yang ada di Indonesia. Oke biar gk terlalu basa basi langsung aja yah cek bug seperti apa sih yang saya temukan dan bagaimana dampaknya. Check this out…..

RESUME:

Bug yang kali ini saya temukan memungkinkan seorang malicious user untuk memanipulasi nominal wallet miliknya sendiri maupun milik user lain secara bebas dengan nominal berapapun.

Bug ini memanfaatkan kesalahan pemrosesan pada saat merubah profile seseorang user yang baru melakukan pendaftaran di sistem (pada awal diminta memverifikasi data dengan teknik KYC, dari request yang dikirimkan saya coba capture dan akhirnya menemukan vulnerable endpoint di website tersebut) dengan cara menambahkan parameter wallet pada POST data. Disini seorang malicious user dapat dengan mudah melakukan manipulasi nominal wallet user lainnya menggunakan ID dari user tersebut pada vulnerable endpoint dengan nominal berapapun.

IMPACT:

Manipulasi nominal wallet dengan saldo berapapun (unlimited)

PROOF OF CONCEPT:

  1. Malicious user membuat sebuah akun baru melalui website redacted.com
  2. Setelah akun berhasil dibuat, user akan diminta memasukkan kode OTP yang dikirimkan ke email.
  3. Malicious user menginputkan OTP yang valid
  4. Pada tahap selanjutnya user diminta memasukkan data diri yang valid (Nama, Alamat, No. Handphone, Email, Username dan Password)
  5. Setelah memasukkan data diri yang valid intercept dengan menggunakan Burp Suite dan lihat hasil capture request pada Burp Suite
  6. Kirim ke menu repeater dan hapus semua POST data parameter dan tambahkan parameter wallet dengan nominal berapapun
  7. Sampai pada tahapan tersebut, seorang malicious user berhasil memanipulasi nominal wallet miliknya maupun milik user lain

ADDITIONAL INFORMATION:

Flow

RegistrationVerificationInterceptChange request body from (name=redacted&address=redaceted&phone number=redaceted&email=redaceted&username=&password=) and add wallet parameter  (name=redacted&address=redaceted&phone number=redaceted&email=redaceted&username=&password=&wallet=unlimited_wallet_balance)

TIMELINE:

  • Report: Undisclosed
  • Triage: Undisclosed (P2 Severity)
  • Fix: Resolved
  • Rewards: Undisclosed

Demikian writeup yang dapat saya tulis dan saya bagikan pada kesempatan kali ini, semoga tulisan ini dapat bermanfaat dan memotivasi rekan-rekan bug hunter yang lain. Jika ada kesalahan atau kekurangan pada penulisan kali ini saya sangat mengharapkan kritik dan masukan dari rekan-rekan bug hunter semua.

Salam sehat dan sukses untuk kita semua.

Best Regards,

rootbakar

Wassalamu’alaikum Wr. Wb.

Subcribe Rootbakar Official for more info

https://www.youtube.com/@RootbakarOfficial

By: rootbakarPosted on Categories : Categories : Bug Bounty, Write UpTags:

2 Replies to “P2 – IDOR For Wallet Balance Manipulation”

Leave a Reply

Your email address will not be published. Required fields are marked *