Open Bug Stored XSS Website Resmi OVO

Halloo... brader kali ini gue mau open bug dari website resminya ovo yg beralamatkan www.ovo.id, bug ini saya dapatkan pada saat saya lagi iseng ngunj

Halloo... brader kali ini gue mau open bug dari website resminya ovo yg beralamatkan www.ovo.id, bug ini saya dapatkan pada saat saya lagi iseng ngunjungi website resmi ovo. kemudian saya menemukan informasi dari website tsb bahwa ovo sedang mengadakan Program Bug Bounty atau sayembara bagi siapa saja yg menemukan bug di website resmi ovo. dan gue juga tertarik buat pentest website ovo :v untuk informasinya kalian bisa kunjungi website ovo https://www.ovo.id/information.


Pertama gue coba pentest dengan pencarian bug XSS dulu, karna entah kenapa gue sangat yakin klo ada bug XSS di website ovo wkwkw :v lanjut... di sini gue coba cari kolom search yg biasa di gunakan untuk pencarian dalam website. karna biasanya bug XSS sering terdapat pada feature search website. setelah gue menemukan feature searchnya sekarang gue coba buat masukan payload XSS seperti di bawah.


<script>prompt(1)</script>




Njirr Request Rejected artinya kita tidak bisa memasukan code script yg berupa HTML ke dalam pencarian :( tapi tenang aja gue coba sekali lagi tanpa klik enter biasanya feature pencari langsung otomatis menampilkan text yg kita cari di bawah. Okee.. lanjut gue memasukan kembali payload XSS seperti di atas dengan sedikit kata-kata agar payload yg kita masukan muncul tanpa klik enter di kolom pencarian.


Bagaimana cara registrasi ovo ''> <script>prompt(1)</script>




Dan berhasil wkwkw :v kemudian saya coba buat melihat cookie dari website ovo ini dengan memasukan payload seperti di bawah ini.


Bagaimana cara registrasi ovo ''> <script>alert(document.cookie)</script>




Okee... berhasil cookie sudah bisa di tampilkan, lalu apa sih dampak buruk nya dari serangan Stored XSS? Dampak buruknya adalah penyerang dapat mencuri cookie user lain, nah karena penyerang dapet cookies maka si penyerang ini dapat melakukan cookie poisoning, yang berdampak dapat masuk sebagai user lain tanpa harus mengetahui username atau password tersebut.

Bug tsb sudah saya laporkan kepada pihak ovo dan sudah di respond, tapi sayang saya tidak mendapatkan reward ataupun apresiasi berupa sertifikat, karna sudah ada orang lain yg melapor terlebih dahulu. sekarang bug sedang dalam proses perbaikan oleh tim IT ovo.

Sekian artikel dari saya, semoga bermanfaat. Mohon maaf jika ada salah penulisan dalam artikel ini. jangan lupa share dan komen ea bambank :v

Pembelian

Open Bug Stored XSS Website Resmi OVO
Rp. 20rb / $2
*Pembelian dapat melalui Gopay, OVO dan lainnya detail info

Metode pembayaran

Bank Transfer Paypal
sudah membayar? konfirmasi di sini
IT Security, content creator, menulis di blogger sejak tiga tahun yang lalu.

4 komentar

  1. Zidansec
    Komentar ini telah dihapus oleh pengarang.
    1. Zidansec
      Komentar ini telah dihapus oleh pengarang.
  2. Assalamualaikum bang zidan
    Bang bisa buat artikel cara decafe web sch id metode upload sc html 😂
  3. Zidansec
    Komentar ini telah dihapus oleh pengarang.
Tinggalkan komentar sesuai topik tulisan, centang Notify me untuk mendapatkan notifikasi via email ketika komentar kamu di balas.
Masukkan URL Gambar atau Potongan Kode, atau Quote, lalu klik tombol yang kamu inginkan untuk di-parse. Salin hasil parse lalu paste ke kolom komentar.


image quote pre code
© subangXploits. All rights reserved. Premium By Raushan Design