 |
| Bug Bounty Writeup Sitakom 1 - Sensitive Information Disclosure at dana.id |
Halo, sitakom perdana mempublish temuannya di salah satu layanan pembayaran yang sedang naik daun di indonesia yaitu dana.id beberapa hari yang lalu sitakom menemukan salah satu Issue Vulnerability Sensitive Information Disclosure pada website dana.id yaitu adanya informasi sentive berupa username dan password untuk login ke dashboard wordpress dana.id, tanggapan pertama dari pihak dana.id sangat bagus, namun sangat di sayangkan hanya di awal saja, akan tetapi setelah diperbaiki tidak mengabari pelapor, untuk hal ini sebaiknya dari pihak yang dilaporkan mengabarkan apakah celahnya sudah ditutup dan dapat di verifikasi ulang, berikut laporan singkatnya.
Affected Endpoint
https://dana.id/assets/js/app.6949957e1ca345515f24.js
Impact
1. Reputasi dana.id menjadi buruk jika attacker memanfaatkan issue vulnerability tersebut untuk melakukan pemerasan, penipuan dan hal lain yang merugikan pengguna.
2. Attacker dapat melakukan skenario phising dengan menyisipkan kode html pada post dana.id untuk melakukan pencurian username dan password customer.
3. Terdapat halaman promo, dan beberapa post draft, hal ini memungkinkan Attacker mengumpulkan informasi tersebut, lalu memanfaatkan informasi tersebut kepada Pesaing dana.id.
Step to Reproduce
1. Buka link Affected Endpoint diatas, terdapat username dan password yang dapat dilakukan untuk login ke dashboard dana.id.
2. Gunakan credential tersebut untuk login ke dalam aplikasi https://dana.id/cms/
PoC video
Remidiation
1. Meletakkan sensitive information selain di file javascript/.js.
References
1. https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
2. https://medium.com/bugbountywriteup/bug-bounty-tips-tricks-js-javascript-files-bdde412ea49d
Pelajaran yang dapat diambil
cek endpoint maupun informasi yang terdapat pada file javascript, pada beberapa kasus saya menemukan adanya sensitive information yang diletakkan pada file javascript.
Timeline Report
8 Nov 2018 : Saya melaporkan ke dana.id
?? Nov 2018 : dana.id memperbaiki
23 Nov 2018 : verifikasi ulang tanpa adanya pemberitahuan dari pihak dana.id jika celah telah dilakukan perbaikan.
https://dana.id/assets/js/app.6949957e1ca345515f24.js
Impact
1. Reputasi dana.id menjadi buruk jika attacker memanfaatkan issue vulnerability tersebut untuk melakukan pemerasan, penipuan dan hal lain yang merugikan pengguna.
2. Attacker dapat melakukan skenario phising dengan menyisipkan kode html pada post dana.id untuk melakukan pencurian username dan password customer.
3. Terdapat halaman promo, dan beberapa post draft, hal ini memungkinkan Attacker mengumpulkan informasi tersebut, lalu memanfaatkan informasi tersebut kepada Pesaing dana.id.
Step to Reproduce
1. Buka link Affected Endpoint diatas, terdapat username dan password yang dapat dilakukan untuk login ke dashboard dana.id.
2. Gunakan credential tersebut untuk login ke dalam aplikasi https://dana.id/cms/
PoC video
Remidiation
1. Meletakkan sensitive information selain di file javascript/.js.
References
1. https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
2. https://medium.com/bugbountywriteup/bug-bounty-tips-tricks-js-javascript-files-bdde412ea49d
Pelajaran yang dapat diambil
cek endpoint maupun informasi yang terdapat pada file javascript, pada beberapa kasus saya menemukan adanya sensitive information yang diletakkan pada file javascript.
Timeline Report
8 Nov 2018 : Saya melaporkan ke dana.id
?? Nov 2018 : dana.id memperbaiki
23 Nov 2018 : verifikasi ulang tanpa adanya pemberitahuan dari pihak dana.id jika celah telah dilakukan perbaikan.
Bug Bounty Writeup Sitakom 1 - Sensitive Information Disclosure at dana.id
Reviewed by Sitakom Blog
on
10:17 AM
Rating:
Reviewed by Sitakom Blog
on
10:17 AM
Rating:
No comments: