[Bug Bounty Tokopedia] Stored XSS On Catatan Toko via Application Android

Jasa Yosep 16.44

[*] Bug Bounty Tokopedia
Tokopedia.com merupakan salah satu pusat perbelanjaan daring di Indonesia yang mengusung model bisnis marketplace. Didalam marketplace sudah pasti akan banyak pengguna yang mendaftar. Dan Tokopedia juga sangat mengutamakan masalah keamanan pada sistemnya. Maka dari itu tokopedia mengadakan sebuah program bug bounty bagi siapapun yang dapat menemukan celah pada sistem tokopedia. Untuk lebih jelas mengenai program tersebut dapat di baca pada https://github.com/tokopedia/Bug-Bounty

[*] XSS
XSS (Cross Site Scripting) merupakan teknik injeksi script terhadap halaman web,dampak dari celah xss yaitu dapat melakukan pencurian credentials,penyebaran malware,perubahan halaman web serta bypassing token CSRF.

 [*] Stored XSS
Stored XSS (Cross Site Scripting) adalah injeksi js yang secara langsung menginfeksi website secara tersimpan pada database. Mengakibatkan suatu page yang terinfeksi secara terus menerus akan menjalan injeksi script yang di sisipkan oleh seseorang.

 [*] Proof Of Concept
Serangan yang terjadi pada sistem tokopedia terdapat pada Catatan Toko (Penjualan). Namun jika dilakukan injeksi XSS pada Tambah Catatan melalui web/browser. Dengan parameter :
Judul     : <script>alert(‘XSS’);</script>
Konten : test
Filter bekerja secara baik pada Dashboard Toko.

Tetapi pada Application Android (Tokopedia) pada saat menginputkan Catatan Toko filter XSS tidak bekerja secara baik yang mengakitbatkan seluruh karakter yang diinputkan tersimpan di dalam database dan di tampilkan pada Dashboard Toko secara stored tanpa melakukan filterisasi terlebih dahulu.

 Version Aplikasi Tokopedia :

Berikut Proof Of Concept Stored XSS on Catatan Toko via Application Android
  1. Buka Aplikasi Tokopedia masuk ke menu Pengaturan pada tab Atur Toko pilih Catatan
  2. Pilih Buat Catatan melalui tombol menu
  3. Pada form Catatan Toko.
    Nama Catatan    : <script>alert(‘XSS’);</script>
    Isi                          : test

    Lalu simpan
  4. Membuka link Toko Dashboard kita. Disini toko yang digunakan beralamat pada https://www.tokopedia.com/31337 maka pada saat dikunjungi XSS tereksekusi.

[*] Video POC : Stored XSS on Catatan Toko via Application Android


 [*] Timeline Tokopedia
  • 02/08/2018 - Report Ke Tokopedia
  • 03/08/2018 - Report Dinyatakan Telah ditemukan oleh Team Internal Tokopedia
  • 07/08/2018 - Bug Fixed

 [*] Catatan
Tulisan ini sudah mendapatkan persetujuan dari pihak terkait sebelum di publikasikan

Posting Komentar

0 Komentar