Bug Bounty Writeup Sitakom 1 - Sensitive Information Disclosure at dana.id

Deskripsi

Halo, sitakom perdana mempublish temuannya di salah satu layanan pembayaran yang sedang naik daun di indonesia yaitu dana.id beberapa hari yang lalu sitakom menemukan salah satu issue Sensitive Information Disclosure pada website dana.id yang mana ada informasi sentive tersebut berupa username dan password untuk login ke dashboard dana.id, berikut laporan singkatnya.

Affected Endpoint
https://dana.id/assets/js/app.6949957e1ca345515f24.js

Impact
1. Reputasi dana.id menjadi buruk jika attacker memanfaatkan issue vulnerability tersebut untuk melakukan pemerasan, penipuan dan hal lain yang merugikan pengguna.
2. Attacker dapat melakukan skenario phising dengan menyisipkan kode html pada post dana.id untuk melakukan pencurian username dan password customer.
3. Terdapat halaman promo, dan beberapa post draft, hal ini memungkinkan Attacker mengumpulkan informasi tersebut, lalu memanfaatkan informasi tersebut kepada Pesaing dana.id.

Step to Reproduce
1. Buka link Affected Endpoint diatas, terdapat username dan password yang dapat dilakukan untuk login ke dashboard dana.id.
2. Gunakan credential tersebut untuk login ke dalam aplikasi https://dana.id/cms/

PoC video

Remidiation
1. Meletakkan sensitive information selain di file javascript/.js.

References
1. https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
2. https://medium.com/bugbountywriteup/bug-bounty-tips-tricks-js-javascript-files-bdde412ea49d

Pelajaran yang dapat diambil
1. cek endpoint yang terdapat pada file javascript

Timeline Report
8 Nov 2018 : Saya melaporkan ke dana.id
?? Nov 2018 : dana.id memperbaiki
23 Nov 2018 : verifikasi ulang

Bug Bounty Writeup Sitakom 1 - Sensitive Information Disclosure at dana.id Bug Bounty Writeup Sitakom 1 - Sensitive Information Disclosure at dana.id Reviewed by Sitakom Blog on 10:17 AM Rating: 5

No comments: