Hai semuanya, hari ini saya akan sharing dengan anda bug pertama saya yang valid pada Publik Bug Bounty Program di Hackerone. Saya tidak bisa menyebutkan nama situs target nya, jadi saya akan menyebutnya sebagai redacted.com. Mari kita mulai.

Bug kali terletak pada fitur upgrade coupon code , pada fitur coupon code ini seseorang hanya diperbolehkan memasukan 1 coupon code saja akan tetapi kita bisa memasukan lebih dari 1 coupon code menggunakan tools burpsuite, Langsung saja ke tahap step to reproduce.

Step to Reproduce :

1.Attacker login menggunakan akun nya. 2.Attacker pergi ke halaman redacted.com/upgrade. 3.Attacker mencoba memasukan 1 coupon code pada UI dan hasilnya attacker tidak dapat memasukan coupon code lagi. 4.Nyalakan intercept burp suite dan foxy proxy lalu submit ulang coupon code nya. 5.Pada intercept , attacker menemukan parameter array coupons yang berisi 1 coupon code lalu masukan 1 coupon code lagi ke dalam array coupons. 4.Klik kanan dan Do Intercept — Response to this request. 5.Klik Forwards dan hasil response nya 200 OK yang menandakan 2 coupon kita diterima. 6.Copy link pembayaran pada response dan hasilnya coupon code kita berhasil memotong harga.

Impact : Kerugian finansial perusahaan karena attacker dapat memasukan lebih 1 coupon code yang menyebabkan harga menjadi diskon dalam jumlah banyak sesuai coupon code yang dia masukan.

Timeline: Report : Undisclosed Triage : Undisclosed (P4 Severity) Reward : Undisclosed

Note : Severity P4 karena bug ini masuk Out Of Scope karena kata analis nya masuk ke kategori QA dan dia hanya berfokus pada pengujian sistem keamanan yang berdampak ke user lain

Demikian Write Up yang saya dapat tulis dan bagikan semoga bermanfaat bagi yang membaca.

Terimakasih sudah menyempatkan membaca ,

Salam sehat dan sukses untuk kita semua.

Regards, BigFourEyes