2022-09-07 | Pausi

$150 Stored XSS

$150 Stored XSS
Disini saya akan menuliskan temuan saya pada Program Bug Bounty Jotform.
Oke, mari mulai. Jotform adalah aplikasi yang memungkinkan siapa saja dapat membuat formulir online dengan cepat, Jotform sudah dipercaya lebih dari 15 juta pengguna di seluruh dunia, seperti lembaga nonprofit, institusi pendidikan, bisnis kecil, dan perusahaan.
Saya akan tulis secara singkat sama seperti laporan email saya.
Jadi mari kita ketahui dahulu apa itu Stored XSS secara singkat.
Stored XSS adalah sebuah celah keamanan yang terjadi ketika sebuah website menyimpan data yang dimasukkan oleh pengguna tanpa melakukan validasi terhadap data tersebut.
Baca lengkapnya disini
Ringkasan:
Saya menemukan sebuah form dimana pengguna dapat menambahkan produk pada online store,
dan saya mencoba memasukan sebuah payload XSS pada nama produk.
"><script>alert(document.cookie)</script>
Dan ketika di akses url hasil form nya, payload XSS ini di eksekusi oleh browser.
Proof
Note: ini adalah penulisan bug bounty write up pertama saya, jadi bila ada tulisan yang tidak dipahami mohon dimaklumi hehe
TimeStamps:
  • 18 Agu 2022 04.00 bug ditemukan
  • 18 Agu 2022 05.42 melaporkan bug
  • 26 Agu 2022 04.16 bug dinyatakan valid
  • 05 Sep 2022 06.08 bug sudah diperbaiki
  • 05 Sep 2022 09.13 Bounty $150