Open Bug Stored XSS Website Resmi OVO


Halloo... brader kali ini gue mau open bug dari website resminya ovo yg beralamatkan www.ovo.id, bug ini saya dapatkan pada saat saya lagi iseng ngunjungi website resmi ovo. kemudian saya menemukan informasi dari website tsb bahwa ovo sedang mengadakan Program Bug Bounty atau sayembara bagi siapa saja yg menemukan bug di website resmi ovo. dan gue juga tertarik buat pentest website ovo :v untuk informasinya kalian bisa kunjungi website ovo https://www.ovo.id/information.


Pertama gue coba pentest dengan pencarian bug XSS dulu, karna entah kenapa gue sangat yakin klo ada bug XSS di website ovo wkwkw :v lanjut... di sini gue coba cari kolom search yg biasa di gunakan untuk pencarian dalam website. karna biasanya bug XSS sering terdapat pada feature search website. setelah gue menemukan feature searchnya sekarang gue coba buat masukan payload XSS seperti di bawah.


<script>prompt(1)</script>




Njirr Request Rejected artinya kita tidak bisa memasukan code script yg berupa HTML ke dalam pencarian :( tapi tenang aja gue coba sekali lagi tanpa klik enter biasanya feature pencari langsung otomatis menampilkan text yg kita cari di bawah. Okee.. lanjut gue memasukan kembali payload XSS seperti di atas dengan sedikit kata-kata agar payload yg kita masukan muncul tanpa klik enter di kolom pencarian.


Bagaimana cara registrasi ovo ''> <script>prompt(1)</script>




Dan berhasil wkwkw :v kemudian saya coba buat melihat cookie dari website ovo ini dengan memasukan payload seperti di bawah ini.


Bagaimana cara registrasi ovo ''> <script>alert(document.cookie)</script>




Okee... berhasil cookie sudah bisa di tampilkan, lalu apa sih dampak buruk nya dari serangan Stored XSS? Dampak buruknya adalah penyerang dapat mencuri cookie user lain, nah karena penyerang dapet cookies maka si penyerang ini dapat melakukan cookie poisoning, yang berdampak dapat masuk sebagai user lain tanpa harus mengetahui username atau password tersebut.

Bug tsb sudah saya laporkan kepada pihak ovo dan sudah di respond, tapi sayang saya tidak mendapatkan reward ataupun apresiasi berupa sertifikat, karna sudah ada orang lain yg melapor terlebih dahulu. sekarang bug sedang dalam proses perbaikan oleh tim IT ovo.

Sekian artikel dari saya, semoga bermanfaat. Mohon maaf jika ada salah penulisan dalam artikel ini. jangan lupa share dan komen ea bambank :v
Open Bug Stored XSS Website Resmi OVO

Jasa Pembuatan Website

50 % off

Ingin membuat website atau blog dengan harga murah? Dapatkan harga terbaik dari kami sekarang juga!

Dapatkan Sekarang