[BUKA BONTY] XSS Vulnerability in Bukalapak

XSS Vulnerability in Edit Pelanggan



[BUKA BOUNTY]

Kembali Lagi Dengan Saya Camong Ganss vooos:v
Dah Lama Gan ga open Bug Bounty hehe
Karena apa? You Know lah :v Sibuk voos:v
Langsung Aja Ke TKP Ga Pake Lama :v

Salah satu situs Jual beli Online Yg memiliki Alamat situs https://m.bukalapak.com terdapat Bug Reflected XSS

Poc : 
Vulnerability in edit pelanggan

Langkah Pertama kalian Buka situs https://m.bukalapak.com Yg belum login silahkan kalian Login dulu karna di sini saya sudah login jadi saya tinggal langsung ke tkp hehe :v klik menu Yg ada di gambar bawah ini :



Setelah itu Maka tampilannya akan seperti ini : 



Lalu Kalian Klik Menu yang di garis Hitam kan (Mitra Bukalapak) Setelah Di Klik Tampilanya Akan Seperti Ini : 




Lalu Kalian Tinggal +Tambah Pelanggan Saja Karena di Sini saya sudah Menambahkan pelanggan Tingga Saya edit/Ubah namanya Saja Menjadi Payload XSS .

Setelah itu tinggal msukkan Payload saja di nama pelanggan, Payload yang saya gunakan seperti ini :

<script>alert(document.domain)</script>

 Lalu Klik Simpan Dan Tampilannya Akan Sepertin Ini :




Saya Mencoba Payload Ke Dua : 

<script>prompt('XSS By Camong')</script>

Lalu Tampilannya Akan Seperti Ini :




Kita test menggunakan payload lain, misalnya :

<center><table height="400" width="400"> <td align="center"> <img class="getar" height="250" src="https://garudatersakti72.id/img/gt72.jpg"/> <b><i><br><font size="5" color=red>XSS by Garuda tersakti 72</font></br>


DONE :D

Kenapa gak di report? Sudah ko, tapi gak valid dengan alasan tidak bisa diexploitasi lebih lanjut, jadi ini hanya untuk pembelajaran saja, tidak bermaksud untuk menggurui hehehe,

Oh ya Btw Nanti w Open Bug Bounty Lagi ya tunggu aja Jangan kemana mana di blog ini hehe :v

Jangan lupa Subscribe, Like, dan Share Blog ini, agar tidak ketinggalan Artikel terbaru yaa Guyss :D