Assalamualaikum temen temen , pada kali ini kita akan membahas tentang penemuan saya pada aplikasi GOJEK.
Sebenernya temuan saya ini hanya sekedar iseng iseng aja sih temen temen , ga ada niatan sama sekali untuk melakukan pentest hehe , Oh ya mungkin temen temen disini sudah tau semua ya apa itu GOJEK jadi tidak perlu saya jelaskan seperti sebelum sebelumnya .
Jadi sekitar 10 Oktober 2019 saya mencoba iseng terhadap app GOJEK yang biasa saya gunakan untuk transportasi , disana saya menemukan 2 BUG dan semua sama parameter tampering, Tapi bug yang saya tulis disini hanya satu saja #LagiMager
Apa sih parameter tampering itu ? parameter tampering ini bisa di katakan sebuah metode manipulasi paramater yang akan di kirim ke pada server untuk memodifikasi data yang akan di kirim.
Okeh pada dasarnya bug yang saya temukan ini dapat di katakan kritikal jika kita paham teknik sosial engginering , loh kenapa ? akan saya jelaskan di bawah hehe .
Bug pertama yaitu pada metode transfer atau pembayaran via GOPAY .
Pasti temen temen sudah pernah ya melakukan pembayaran di warung atau restoran menggunakan metode GOPAY , atau mungkin transfer saldo GOPAY ke temen atau saudara gitu .
Pada fitur ini kita dapat memanipulasi angka , misalkan temen temen harusnya bayar 100k ke resto, dengan bug ini temen temen bisa memanipulasi hanya membayar 10k tapi keterangan tetep 100k pada aplikasi gojek temen temen .
Dan metode ini pernah saya coba ke warung depan rumah saya dan berhasil ( tapi tetep saya bayar setelah uji coba ) Selagi mampu membayar kenapa harus mencuri ? hehe
Langsung ke langkah pertama , disini saya mencoba melakukan transfer saldo sebesar 10k kepada akun adik saya .
Selanjutnya kita akan menerima sebuah request dari server seperti gambar di bawah ini
Pada parameter ammount kita dapat merubah nilai yang tadinya 10k menjadi 1k dan langsung saja saya coba kirim kembali ke server dan di katakan valid.
Dapat kita lihat dia atas bahwa kita berhasil mengirim 1k GOPAY , tapi outputnya tetep 10k.
Seperti yang saya bilang di atas tadi , bug ini bisa di nyatakan kritikal jika kita paham teknik sosial engginering.
Contoh , kita mesen di mall dan meminta tolong kepada kasir untuk input jumlah harga dan memasukan pin gopay dari hp kita dengan alasan tangan kita basah . Nah di satu sisi temen kita sudah standby untuk melakukan manipulasi angka atau ammount.
Cuman contoh ya jangan di tiru , semoga bug ini segera di perbaiki oleh pihak gojek .
Loh kenapa mas ga lapor aja ? sudah mencoba lapor ke bugcrowd dan pihak gojek, cuman sudah menunggu terlalu lama jadi yaudah tulis aja deh disini siapa tau langsung di perbaiki hehe .
#Edited : Bug sudah di respon dan di katakan tidak valid karna di anggap sebagai bug functional , dan sosial engginering di atas hanya pemanis saja dan tidak saya masukan ke dalam report hehe.
No Rewards ? not problem , i keep smile
Jika ada kesalahan dalam penulisan mohon di maafkan hehe.
Thanks GOJEK , semoga kedepannya bisa menjadi lebih baik lagi.
Winardi Adji Prasetyo ~