Assalamu’alaikum wr. wb.
Salam semangat untuk sobat progress dimanapun anda berada, kembali lagi bersama saya rootbakar yang akan berbagi postingan-postingan menarik terkait Bug Bounty.
Oke pada kesempatan yang baik kali ini saya akan membagikan postingan terkait bug ATO atau yang lebih dikenal dengan Account Takeover. Pasti sobat progress bertanya kan apa sih account takeover itu…???
Account Takeover sendiri merupakan sebuah serangan yang memungkinkan seseorang untuk mengambil alih akun orang lain dengan berbagai cara yang tersedia di internet, bisa dengan menggunakan brute force, idor, bypass authentification dan lain-lain. Lebih jelas sobat progress bisa membaca beberapa tulisan lain di bawah ini:
- https://owasp.org/www-community/attacks/Credential_stuffing
- https://www.infisecure.com/threats/account-takeover-prevention
- https://www.infisecure.com/blogs/account-takeover-protection
- https://datadome.co/bot-management-protection/credential-stuffing-credential-cracking-and-account-takeover-how-to-protect-your-e-commerce-website/
SUMMARY
Ini merupakan lanjutan dari bug yang sebelumnya saya temukan, sobat progress dapat melihatnya pada link berikut ini https://progress28.com/2020/12/25/ato-via-forgot-password-on-mobile-app/
Nah kali ini saya akan membagikan sedikit tips bagaimana sobat progress dapat dengan mudah melakukan bypass untuk kembali melakukan ATO dengan memanfaatkan teknik berikut ini.
Jadi setelah bug tersebut diperbaiki pengembang menambahkan parameter token untuk validasi request yang dikirimkan oleh user dan jika kita mengganti nomor tersebut ke nomor lain maka secara otomatis request tersebut akan di tolak oleh sistem dengan response TOKEN INVALID. Namun jika kita menghapus paramater token, request akan berhasil dan menunjukkan response 200.
Masih bingung…?? yowes langsung lihat poc di bawah ini yah untuk lebih detailnya…
POC
1. Masuk ke aplikasi redacted (vulnerable app) pada perangkat android anda
2. Masuk ke menu Login dan klik Forgot Password
3. Masukkan nomor handphone (attacker)
4. Masukkan kode OTP yang dikirimkan
5. Secara otomatis aplikasi akan meminta anda untuk memasukkan kata sandi yang baru
6. Intercept dengan menggunakan Burp Suite
7. Klik Submit
8. Pada saat data request di tampilkan pada Burp Suite anda dapat melakukan perubahan pada tahap ini dengan mengganti value yang ada pada phone parameter dari nomor handphone attacker ganti ke nomor handphone milik victim dan hapus parameter token
9. Klik Forward pada Burp Suite dan lihat response status adalah 200 itu artinya password victim berhasil dirubah dan akun berhasil di ambil alih (Takeover Account)
SCREENSHOT
BEFORE BYPASS
AFTER BYPASS
IMPACT
Mengambil alih akun user lain
TIMELINE
- Report: 24 Desember 2020
- Rewards: On Proccess
- Status: Unresolved
Terimakasih sudah menyempatkan untuk membaca postingan saya ini semoga menginspirasi dan membantu semua sobat progress dalam menemukan bug-bug serupa pada sebuah platform bug bounty dan Jangan lupa sempatkan sedikit waktunya untuk subscribe youtube kami yah di Progress28. Salam semangat dan Happy Hunting.