[*] Bug Bounty Tokopedia
Tokopedia.com merupakan salah satu pusat perbelanjaan daring di Indonesia yang mengusung model bisnis marketplace. Didalam marketplace sudah pasti akan banyak pengguna yang mendaftar. Dan Tokopedia juga sangat mengutamakan masalah keamanan pada sistemnya. Maka dari itu tokopedia mengadakan sebuah program bug bounty bagi siapapun yang dapat menemukan celah pada sistem tokopedia. Untuk lebih jelas mengenai program tersebut dapat di baca pada https://github.com/tokopedia/Bug-Bounty[*] IDOR
IDOR (Insecure Direct Object Reference) adalah kondisi dimana seseorang dapat mengakses,mengubah ataupun menghapus sesuatu objek dengan mengubah parameter yang dimiliki oleh seorang user
[*] Proof Of Concept
Bug IDOR terdapat pada saat mendownload Daftar Transaksi.
report_user_id = User ID Tokopedia
report_shop_id = Shop ID Tokopedia
Parameter tersebut adalah parameter yang mengidentifikasikan pemilik Daftar Transaksi ketika akan mendownload Daftar Transaksi, pada parameter report_shop_id saat dirubah dengan shop_id toko penjualan user yang bukan kita miliki dan mendownload Daftar Transaksi Penjualan,maka Daftar Transaksi Penjualan user lain dapat di dapatkan dengan mudah tanpa memerlukan interaksi secara langsung.
Mencoba melakukan testing dengan melihat Shop ID Tokopedia yang ingin di lihat Daftar Transaksinya. Berikut contoh Toko yang dicoba lihat transaksinya
Nama Toko : dealerapple
Bug IDOR terdapat pada saat mendownload Daftar Transaksi.
report_shop_id = Shop ID Tokopedia
Parameter tersebut adalah parameter yang mengidentifikasikan pemilik Daftar Transaksi ketika akan mendownload Daftar Transaksi, pada parameter report_shop_id saat dirubah dengan shop_id toko penjualan user yang bukan kita miliki dan mendownload Daftar Transaksi Penjualan,maka Daftar Transaksi Penjualan user lain dapat di dapatkan dengan mudah tanpa memerlukan interaksi secara langsung.
Mencoba melakukan testing dengan melihat Shop ID Tokopedia yang ingin di lihat Daftar Transaksinya. Berikut contoh Toko yang dicoba lihat transaksinya
Nama Toko : dealerapple
Shop ID : 1843576
Kembali ke fitur Download Daftar Transaksi pada panel toko yang kita miliki dan mengubah shop id yang kita miliki dengan shop id milik toko dealerapple.
Klik kanan pada tombol download lalu pilih inspeksi (inspect element)
Ubah shop id yang kita miliki dengan shop id toko dealerapple
Shop id yang saya miliki 2763982
Shop id toko dealerapple 1843576
Kembali ke tombol download lalu kita download. Setelah itu akan ada notifikasi download berhasil dan akan di berikan hasil file excel yang berisikan Daftar Transaksi Toko tersebut.
Excel Daftar Transaksi toko dealerapple
Sayangnya bug IDOR ini tidak mendapatkan reward dari team Tokopedia dikarenakan team internal IT Security Tokopedia sudah menemukannya terlebih dahulu pada 6 April 2018 pukul 3:51 PM.
[*] Video POC : IDOR on Download Daftar Transaksi
[*] Timeline Tokopedia
- 07/04/2018 - Report Ke Tokopedia
- 07/04/2018 - Report Dinyatakan Telah ditemukan oleh Team Internal Tokopedia (06/04/2018)
- Bug Fixed
[*] Catatan
Tulisan ini sudah mendapatkan persetujuan dari pihak terkait sebelum di publikasikan
Tulisan ini sudah mendapatkan persetujuan dari pihak terkait sebelum di publikasikan
0 Komentar