Assalamu’alaikum Wr. Wb.

Salam sehat dan sukses untuk semuanya para bug hunter dimana pun anda berada. Kembali lagi bersama saya rootbakar. Pada kesempatan yang baik kali ini izinkan saya untuk membagikan sebuah artikel temuan bug pada salah satu website yang ada di Indonesia. Oke biar gk terlalu basa basi langsung aja yah cek bug seperti apa sih yang saya temukan dan bagaimana dampaknya. Check this out…..

RESUME:

Bug yang kali ini saya temukan memungkinkan seorang malicious user untuk mendapatkan valid credential yang di publish melalui API Documentation. 

Pada umumnya API Documentation yang diberikan pada pengguna hanya menjelaskan cara untuk mengirim request dalam satu endpoint tertentu, namun pada case kali ini saya menemukan hal yang unik, yaitu username dan password yang diberikan pada API Documentation ternyata bisa digunakan untuk login ke website dan yang pada akhirnya saya dapat mengambil alih salah satu website sampai dengan role Administrator.

IMPACT:

Panel Admin Takeover

PROOF OF CONCEPT:

  1. Kunjungi link API Documentation yang terdapat pada website
  2. Lakukan pencarian pada API Documentation dengan kata kunci username atau password
  3. Terlihat beberapa username dan password pada API Documentation
  4. Salah satunya yaitu username redacted@gmail.com dan password redacted
  5. Login ke website dengan menggunakan credential tersebut
  6. Berhasil login dan mendapatkan akses sebagai administrator

NOTES:

  • Credential tersebut memiliki role sebagai administrator
  • Selalu periksa username dan password yang diberikan pada API Documentation

TIMELINE:

  • Report: Undisclosed
  • Triage: Undisclosed (P3 Severity)
  • Rewards: Undisclosed

Demikian writeup yang dapat saya tulis dan saya bagikan pada kesempatan kali ini, semoga tulisan ini dapat bermanfaat dan memotivasi rekan-rekan bug hunter yang lain. Jika ada kesalahan atau kekurangan pada penulisan kali ini saya sangat mengharapkan kritik dan masukan dari rekan-rekan bug hunter semua.

Salam sehat dan sukses untuk kita semua.

Best Regards,

rootbakar

Wassalamu’alaikum Wr. Wb.

Subcribe Rootbakar Official for more info

https://www.youtube.com/@RootbakarOfficial

Leave a Reply

Your email address will not be published. Required fields are marked *