Bug Bounty Writeup Sitakom 2 - Bypass XSS Filter at laporbug.id

Bug Bounty Writeup Sitakom 2 - Bypass XSS Filter at laporbug.id

Deskripsi

Halo Gaes, kembali lagi bersama saya admin sitakom, beberapa hari yang lalu saya menemukan adanya Issue Vulnerability Stored Cross Site Scripting, yang terdapat pada fitur pelaporan di salah 1 Platform Crowdsourcing Bug Bounty yang baru launching Juli 2019 kemarin yaitu https://www.laporbug.id, jika anda berminat untuk bergabung bisa mendaftar melalui URL berikut https://laporbug.id/join/partner, karena masih baru launching menurut pengalaman saya biasanya masih terdapat banyak celah keamanan yang didapat. Intinya kita merubah pola pikir kita dari yang tadinya, Wah, sudah ini nih yang melapor, pasti sudah habis bugnya beberapa kali saya juga berpikir demikian, namun jika kita berpikir seperti ini terus, alhasil kita tidak akan berusaha mencari, padahal yang namanya rezeki sudah ada yang mengatur, kita tinggal ber-ikhtiar saja untuk mencarinya, jika tidak menemukan ya berarti belum rezeki, jika telah menemukan namun duplikat balik lagi ke rezeki.

okeh, kita coba runtutan nya dari awal. saya coba menganalisa menggunakan Wappalyzer pada fitur pelaporan laporbug.id dan ternyata menggunakan Rich Text Editor. Wappalyzer sendiri adalah plugin yang mempermudah saya untuk menganalisa awal atau mendapatkan informasi awal bahwa suatu web aplikasi menggunakan plugin apa,  bahasa pemrograman apa ,dll.

Plugin ini termasuk salah 1 yang banyak digunakan oleh web developer untuk mempermudah dalam memanage text isi suatu website, melihat plugin Rich Text Editor yang digunakan oleh laporbug.id adalah CKEditor, awalnya ragu karna payload javascript:alert('xxx') telah difilter. maka saya mencoba beberapa kemungkinan untuk melakukan bypass, dengan mengubah salah satu huruf kecil menjadi huruf besar, dan hasilnya mengejutkan, filter xss berhasil di bypass, berikut detail laporannya.

Affected URL

https://laporbug.id/hacker/laporkan

Payload

javaScript:alert(1)

How to Reproduce

1. Laporkan bug pada program yang aktif, pada form bagian detail kelemahan/vulnerability paste payload yang saya lampirkan .

2. Klik save, maka payload javascript akan tersimpan dan dapat di eksekusi pada sisi admin maupun user.

Impact

1. Pencurian cookie.

2. Menyisipkan url phising untuk pencurian credential.

Recommendation

1. Lalukan filter terhadap request melalui client side terhadap code atau script yang berbahaya.

2. Pada kasus ini WYSIWYG tidak melakukan filter secara baik karena masih menggunakan sistem whitelist dengan memfilter keyword alert saja, jika attacker mengirimkan dengan keyword alert dengan mengubah huruf R besar maka script yang attacker inputkan akan diloloskan oleh sistem. maka dari itu saya menyarankan untuk Lalukan filter terhadap request melalui client side terhadap code atau script yang berbahaya menggunakan function untuk melakukan filter javascript yang telah tersedia.

References

1. https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

2. https://www.owasp.org/index.php/Testing_for_Stored_Cross_site_scripting_(OTG-INPVAL-002)

Timeline Report

22 Juli 2019 : Saya melaporkan Issue ini.
23 Juli 2019 : Status Valid.
23 Juli2019 : Pihak laporbug.id menginformasikan bahwa bug telah diperbaiki dan minta untuk di verifikasi ulang
23 Juli 2019 : Reward Dikirim