xhellc0de
xhellc0de (aku suka Squidward karna warnanya biru)

Bukalapak Email Disclosure via IDOR

Bukalapak

Bug ini ditemukan pada salah satu layanan Bukalapak. Pada layanan tersebut, terdapat sebuah fitur untuk meng-invite member Bukalapak untuk menjadi anggota kita. Ketika melakukan proses invivation, saya pun membuka Burpsuite dan mengecek bagaimana bentuk data yang dikirimkan ke server.

Ternyata, data yang dikirimkan berisi parameter bukalapak_user_id yang merupakan user id dari member bukalapak, dan pada response-nya, menampilkan string email yang merupakah alamat email dari member tersebut.

REQUEST

Bukalapak

RESPONSE

Bukalapak

Dengan merubah-rubah parameter bukalapak_user_id, kita bisa mendapatkan informasi alamat email dari setiap member Bukalapak.

Bukalapak IDOR

Timeline:

[ 23 Nov 2018 ]: Bug Report
[ 23 Nov 2018 ]: Respon dari Bukalapak, Report Valid S3
[ 28 Nov 2018 ]: Bug Fixed
[ 28 Nov 2018 ]: Bukalapak Meminta Informasi untuk Reward
[ 10 Des 2018 ]: Reward Diterima

comments powered by Disqus