Tokopedia Bug Bounty — Bug Cross Site Scripting (XSS)

Tulisan ini awalnya saya tulis di http://bugbounty-hunter.blogspot.com/2019/04/bug-tokopediacom-bagaimana-saya.html dengan judul “Bug tokopedia.com | Bagaimana saya mendapatkan 3jt untuk xss tokopedia.com” , karna saya kehilangan akses lagi ke blogger dan tidak bisa update artikel disana terpaksa semua artikel yang pernah saya tulis saya pindahkan ke medium,

Ada 3 bug Cross Site Scripting (XSS) yang saya temukan di :

  1. https://tokopedia.com/user/profile?errorMsg=Permintaan pergantian no handphone gagal

Cross Site Scripting (XSS) :

XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Proof of Concept :

Url : https://tokopedia.com/user/profile?errorMsg=Permintaan pergantian no handphone gagal

bug ini saya temukan dengan tidak sengaja niat nya cuman ingin mengganti no telpon di akun tapi gagal pada saat itu,

lalu saya mendapati pesan error Permintaan pergantian no handphone gagal yang di arahkan ke “https://tokopedia.com/user/profile?errorMsg=Permintaan pergantian no handphone gagal” hanya beberapa detik saja yang langsung di alihkan kembali ke https://tokopedia.com/user/profile

insting perburuan bug saya pun muncul, lalu saya melakukan intercept lewat burp suite berharap saya bisa mendapatkan url tadi dengan cepat.

Setelah mendapatkan url tersebut lalu saya merubah value dari parameter ?errorMsg= dan mencoba memasukan script payload XSS

Https://tokopedia.com/user/profile?errorMsg='"><script></script>'"><img src=x onerror=prompt(1);>

dan benar saja ada bug XSS disana

  • Bug Fixed — Reward Rp. 1.000,000

Proof of Concept :

Url : Https://tokopedia.com?after_ql&id=/user

Bug kedua saya temukan saat selesai login dan di arahkan ke halaman profile dengan parameter &id=/user parameter ini saya temukan di halaman lain di tokopedia namun severity nya LOW karna bug Open Redirect namun saat saya coba arahkan ke “javascript:window.prompt(document.cookie);” popup 1 pun muncul

Https://tokopedia.com?after_ql&id=javascript:window.prompt(document.cookie);

Lantas saya langsung mengabari kebali tim Security Tokopedia untuk meminta update severity

  • Dinyatakan valid dengan severity LOW

Proof of Concept :

Url : https://tiket.tokopedia.com/kereta-api/search/Jakarta-Gambir-GMR/Bandung-Bandung-BD?ori=GMR&dest=BD&dep_date=01-02-2019&adult=1&infant=0&trip=departure

Dan bug ke 3 saya temukan saat saya mau memesan tiket kereta API namun kembali insting pengetesan saya mucul dan langsung tertarik ke parameter ?ori= lalu saya coba iseng merubah value tersebut dengan memasukan payload XSS

https://tiket.tokopedia.com/kereta-api/search/Jakarta-Gambir-GMR/Bandung-Bandung-BD?ori="><b></b>'"><script>alert('xss');</script>&dest=BD&dep_date=01-02-2019&adult=1&infant=0&trip=departure

dan benar saja dugaan saya ada bug XSS disana

Timeline :

- 29 Januari 2019 — Bug report
- 29 Januari 2019 — Bug valid severity Medium
- 4 Februari 2019 — Semua bug di fix
- 6 Februari 2019 — IT tokopedia meminta data untuk reward
- 19 April 2019 — Reward dikirim Rp. 1.000,000

Linkedin : https://www.linkedin.com/in/anggi-gunawan17/

Website : https://kitabantu.co.id

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store