Assalamualaikum temen temen , pada kali ini kita akan membahas tentang penemuan saya pada website tokopedia.com.
Semua bermula ketika saya ingin membeli voucher google play card untuk membeli sebuah aplikasi di playstore , di tokopedia terdapat sebuah fitur code promo , dimana kita bisa mencoba memasukan code yang kita miliki .
Kebetulan pada saat itu saya tidak memiliki code promo , saya mencoba untuk mengisi ngasal sekaligus memasukan beberapa payload xss serta query bypass .
Setelah memasukan 10x ternyata saya mendapat sebuah respon bahwa harus menunggu 1 jam lagi untuk memasukan sebuah code promo , disaat itu saya mulai sangat amat jenuh , masa iya saya harus menunggu 1 jam untuk mencoba code promo baru , padahal pada saat itu saya sudah menemukan satu kode promo yang memungkinkan saya untuk mendapat cashback 20%.
Karena saya tidak sabaran akhirnya saya mencoba melihat inspektur atau source dari halaman tokopedia , disana saya tertarik pada sebuah atribut data-code yang valuenya adalah kosong .
Pada atribut itu saya mencoba memasukan sebuah value code promo yang saya miliki yaitu COBADONG , dimana code ini hanya dapat digunakan oleh pengguna baru .
Setelah mencoba merubah value maka langsung saja saya coba klik lanjut , dan ternyata code promo berhasil masuk ke halaman selanjutnya , jadi code promo ini hanya di filter pada halaman sebelumnya saja .
Alhasil saya tidak perlu menunggu satu jam lagi untuk mencoba beberapa code promo hehe .
Timeline Bug Report
Report bug ke developer tokopedia : Selasa 2 April 2019 23:36
Respon dari tokopedia mengenai temuan saya : Rabu 3 April 2019 20:45
Bug di nyatakan valid oleh tokopedia dengan severity low : Selasa 9 April 2019 09:51
Thanks tokopedia , walaupun ga dapet mercendes wkwk setidaknya saya membantu security di tokopedia menjadi lebih baik .
BTW Sertifikatnya ga di kirim kirim sampai sekarang , udah satu tahun yasudahlah
