Bukalapak merupakan salah satu pasar daring (online marketplace) terkemuka di Indonesia (biasa dikenal juga dengan jaringan toko daring ) yang dimiliki dan dijalankan oleh PT. Bukalapak. Selain mengutamakan kenyamanan pengguna,bukalapak juga sangat mengutamakan keamanan pengguna. Maka dari itu bukalapak mengadakan sebuah Bug Bounty bagi siapapun yang dapat menemukan sebuah bug pada bukalapak. Untuk selengkapnya dapat di lihat pada link https://bukalapak.com/bug_reports
[*] XSS
XSS (Cross Site Scripting) merupakan teknik injeksi script terhadap halaman web,dampak dari celah xss yaitu dapat melakukan pencurian credentials,penyebaran malware,perubahan halaman web serta bypassing token CSRF.
[*] XSS on Bukalapak
XSS pada website bukalapak terdapat pada form input pencarian barang.
Berikut adalah PoC (Proof Of Concept) lengkapnya :
- Mencoba melakukan input string "<script>alert(1);</script>" pada form pencarian barang. Dan ternyata hasilnya gagal,kemungkinan gagal pasti besar karena payload xss seperti "<script>alert(1);</script>" sangat umum di lakukan dan pasti website bukalapak sudah mengetahui benar tentang payload XSS tersebut.
-
Tetapi tidak sampai disitu pencarian bug XSS pada form input pencarian barang tersebut,jika dilihat dari hasil diatas maka coba kita mengansumsikan bahwa string "<script>" masuk kedalam list blacklist.Oleh karena itu mencoba melakukan payload dengan tag html "<img>" karena pada tag img terdapat parameter onerror. Dimana jika suatu source image rusak maka parameter onerror akan berjalan.Dari analisa diatas terbentuklah payload "<img src='#' onerror=alert(1);/>". Tetapi setelah dicoba kembali hasilnya tetap gagal.
- Pada percobaan kedua sepertinya spasi dalam payload tersebut terencode,kemungkinan besar itu dapat mengakibatkan payload tersebut gagal tereksekusi lalu akhirnya mencoba percobaan terakhir ialah tetap
menggunakan inputan pada percobaan sebelumya, akan tetapi saya mengubah
seluruh spasi dalam inputan sebelumnya menjadi "/".Maka dari itu terbentuklah payload string "<img/src='#'/onerror=alert(1);>". Dan ketika dicoba kembali pada form pencarian barang? Ya, payload dapat tereksekusi.
[*] Video POC XSS on Bukalapak
[*] Timeline Bukalapak
- 6/11/2017 - Report Ke Bukalapak
- 6/11/2017 - Report Dinyatakan Valid Oleh Bukalapak
- 7/11/2017 - Bug Fixed
- 7/11/2017 - Meminta Data Diri dan Akun Bukalapak
- 30/11/2017 - Reward Dikirimkan Ke Dompet Bukalapak (Thanks Bukalapak)
[*] Catatan
Tulisan ini sudah mendapatkan persetujuan dari pihak terkait sebelum di publikasikan
![[Bug Bounty Bukalapak] XSS On Search Product](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_ueZs4y-5YqKrXqH8b7YAL85fj-_InqEuFNxVv5NOr6APS2pbWB4Vfc1Dq0q-CNju_H7zZcRXq8IjjchLOGimJbRdBRgZ1hZflAT8XI77FWC2GD4w=w100)
0 Komentar