BLANTERWISDOM101

Reflected XSS on MOBILE.SEDERET.COM

Saturday, August 10, 2019



Halo ,

Nama saya Sultan Putra Alveira  berumur 17th dan masih duduk di bangku sekolah kelas 12 SMA di daerah Priangan Timur . saya bercita² untuk melanjutkan pendidikan ke luar negeri (amiin ya allah), bisa dibilang saya adalah remaja yang menyukai dunia ini karena menurut saya itu sangat keren dan berbeda dengan remaja lainnya, mungkin cukup perkenalan dan basa basinya. 

Nah pada kesempatan kali ini saya akan menjelaskan bagaimana saya bisa menemukan bug XSS berjenis  Reflected XSS  pada situs  MOBILE.SEDERET.COM :





sebenernya ini cuman sharing saja dan karena report saya juga tidak di tanggapi ( hiks ).Kita ulas sedikit penjelasan tentang Reflected XSS :

Reflected XSS adalah serangan di mana skrip yang disuntikkan dipantulkan dari server web, seperti dalam pesan kesalahan, hasil pencarian, atau respons lain yang mencakup sebagian atau semua input yang dikirim ke server sebagai bagian dari permintaan. Serangan yang dipantulkan dikirim ke korban melalui rute lain, seperti dalam pesan email, atau di beberapa situs web lain.

Pada sore tadi ketika sedang asik berselancar di Mozilla Firefox sambil duduk di depan rumah dan menikmati indahnya senja ( senja tai anjink ),saya teringat sebuah moment saat salah seorang bug hunter yang menemukan bug xss berjenis Reflected XSS pada situs  Google Translate. 


Saya memutuskan untuk mencari situs yang menyediakan jasa translate seperti Google Translate, akhirnya saya menemukan situs MOBILE.SEDERET.COM :





Setelah saya masuk pada situs tersebut, saya langsung memasukan payload sederhana pada kolom translate :

berikut payload yang sayang gunakan:

<script> alert('1337'); </script>

setelah menekan tombol submit ternyata payload saya terbaca oleh server.






karena masih belum puas saya mencoba untuk memunculkan  cookie  dengan payload yang berbeda yaitu :

"><script>alert(document.cookie)</script>

Dari gambar dibawah dapat dilihat bahwa saya berhasil menampilkan cookie.




Kesimpulan :

• Bug Reflected XSS harus diperhatikan oleh para developer meskipun dampaknya tidak langsung kepada server tetapi data atau informasi bisa saja dicuri (sesuai dengan keadaan tertentu ) .

• Bug XSS juga memungkinkan attacker untuk melakukan session hijacking .

My Social Media :

Facebook : https://www.facebook.com/sultan.go.id

Twitter :
https://www.twitter.com/Raymond7_

Share This :

0 Comments