[*] Bug Bounty Tokopedia
Tokopedia.com merupakan salah satu pusat perbelanjaan daring di Indonesia yang mengusung model bisnis marketplace. Didalam marketplace sudah pasti akan banyak pengguna yang mendaftar. Dan Tokopedia juga sangat mengutamakan masalah keamanan pada sistemnya. Maka dari itu tokopedia mengadakan sebuah program bug bounty bagi siapapun yang dapat menemukan celah pada sistem tokopedia. Untuk lebih jelas mengenai program tersebut dapat di baca pada https://github.com/tokopedia/Bug-Bounty.

[*] XSS
XSS (Cross Site Scripting) merupakan teknik injeksi script terhadap halaman web,dampak dari celah xss yaitu dapat melakukan pencurian credentials,penyebaran malware,perubahan halaman web serta bypassing token CSRF.

[*] Proof of Concept (POC)
Pada URL https://www.tokopedia.com/tokopoints/detail/[Kode Detail Kupon] menampilkan detail penukaran kupon pada TokoPoints. Kerentanan bermula pada "Kode Detail Kupon" tersebut.

End Point : https://www.tokopedia.com/tokopoints/detail/BPJSH
Parameter : BPJSH
URL Payload : https://www.tokopedia.com/tokopoints/detail/BPJSH';alert(document.cookie);var test='test

1. Mengakses URL End Point https://www.tokopedia.com/tokopoints/detail/BPJSH
2. Pada saat membuka source code halaman end point tersebut,parameter "Kode Detail Kupon" reflected didalam penulisan javascript.
3. Menambah karakter "'" pada "Kode Detail Kupon" menjadi "BPJSH'" dan karakter "'" tidak terencode.
4. Melakukan trigger menampilkan popup nama domain tokopedia dengan payload : "';alert(document.domain);var test = 'test" dan hasilnya payload berjalan dengan baik.
[*] Video Proof of Concept (POC) : Reflected XSS On TokoPoints Tokopedia


[*] Timeline
  • 21/06/2018 - Report ke Tokopedia
  • 25/06/2018 - Bug dinyatakan Valid Severity "Medium"
  • 13/08/2018 - Konfirmasi Bug Fixed
  • 03/10/2018 - Reward Diterima

[*] Catatan
Tulisan ini sudah mendapatkan persetujuan dari pihak terkait sebelum di publikasikan