Bug Business Logic Flaws in Order Fee Percent

Halo semuanya, kali ini saya ingin membagikan hasil temuan saya mengenai “Bug Business Logic Flaws in Order Fee Percent” sesuai namanya bug ini terdapat logic flaws di perhitungan fee transaksi, untuk di kasus yang saya temukan memungkinkan siapa saja untuk membuat orderan dan membayar di bawah harga yang seharusnya, oke saya rasa mulai sedikit paham ya tentang bug yang saya temukan ini,, kita lanjut ke proof of concept nya.

Proof of Concept

berikut endpoin yang rentan saya temukan, diaman bug nya?

POST /internal/v1/orders
Host: api.redacted.com

{“product_code”:”XXX",”net_amount”:500000,”fee_percent”:0,”promo_code”:””,”source”:”WEB-DESKTOP”}

ya saya tau yang kalian tebak pasti di ”net_amount” saya sudah mencoba merubah value dari parameter itu tapi sayang nya disana sudah terdapat validasi lol 😆 good developer, break lanjut ngopii

setelah 2 jam ngopii dan melamun memikirkan berbagai kemungkinan dari mulai merubah value dari net_amount sampai merubah respon API, akhir nya saya menemukan kesalahan logika di perhitungan fee di parameter ”fee_percent” dapat dilihat parameter tersebut membaca value persen “%” value awal 0 lalu saya mengubah nya menjadi ”fee_percent”:-90 kalau kita hitung Rp500.000 – 90% = Rp50.000 dannn booommm… bug di temukan dan yang seharusnya saya membayar Rp500.000 jadi Rp50.000

Cheers 🍹

Timeline :

13 Agustus 2021 19:45 WIB : Reporting to Security Team

13 Agustus 2021 20:10 WIB : Valid, proses fixing

18 Agustus 2021 : Fixing

Website : https://kitabantu.co.id

Linkedin : https://www.linkedin.com/in/anggi-gunawan17/