VULNERABILITY BYPASS CODE PROMO IN TOKOPEDIA.COM

Bounty

Assalamualaikum temen temen , pada kali ini kita akan membahas tentang penemuan saya pada website tokopedia.com.

Semua bermula ketika saya ingin membeli voucher google play card untuk membeli sebuah aplikasi di playstore , di tokopedia terdapat sebuah fitur code promo , dimana kita bisa mencoba memasukan code yang kita miliki .

Kebetulan pada saat itu saya tidak memiliki code promo , saya mencoba untuk mengisi ngasal sekaligus memasukan beberapa payload xss serta query bypass .

Setelah memasukan 10x ternyata saya mendapat sebuah respon bahwa harus menunggu 1 jam lagi untuk memasukan sebuah code promo , disaat itu saya mulai sangat amat jenuh , masa iya saya harus menunggu 1 jam untuk mencoba code promo baru , padahal pada saat itu saya sudah menemukan satu kode promo yang memungkinkan saya untuk mendapat cashback 20%.

Pesan peringatan untuk menunggu 1 jam

Karena saya tidak sabaran akhirnya saya mencoba melihat inspektur atau source dari halaman tokopedia , disana saya tertarik pada sebuah atribut data-code yang valuenya adalah kosong .

Pada atribut itu saya mencoba memasukan sebuah value code promo yang saya miliki yaitu COBADONG , dimana code ini hanya dapat digunakan oleh pengguna baru .

Memberikan Value Code Promo

Setelah mencoba merubah value maka langsung saja saya coba klik lanjut , dan ternyata code promo berhasil masuk ke halaman selanjutnya , jadi code promo ini hanya di filter pada halaman sebelumnya saja .

Bypass Code

Alhasil saya tidak perlu menunggu satu jam lagi untuk mencoba beberapa code promo hehe .

Timeline Bug Report

Report bug ke developer tokopedia : Selasa 2 April 2019 23:36

Respon dari tokopedia mengenai temuan saya : Rabu 3 April 2019 20:45

Bug di nyatakan valid oleh tokopedia dengan severity low : Selasa 9 April 2019 09:51

Thanks tokopedia , walaupun ga dapet mercendes wkwk setidaknya saya membantu security di tokopedia menjadi lebih baik .

BTW Sertifikatnya ga di kirim kirim sampai sekarang , udah satu tahun yasudahlah

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *