MASIGNALPHAS2101
3071178398193978069

[BUGBOUNTY] SELF XSS In IDWEBHOST.COM

[BUGBOUNTY] SELF XSS In IDWEBHOST.COM
Add Comments
Saturday, September 5, 2020



Halo ATXers,, Berburu Bounty Di Saat Patah Hati Memanglah Bukan Waktu Yang Tepat.

Namun Itu Dapat Membangkitkan Semangat Kita Ketika Kita Berhasil Mendapatkan Bountynya.

Pada Saat Itu Yang Saya Pikirkan Hanyalah Menghilangkan Kegalauan Saya, Salah Satunya Dengan Mendengarkan Lagu Stinky.

Pada Waktu Yang Bersamaan Saya Mendapatkan Notifikasi Email Dari IDWebhost, Disitu Saya Langsung Tergampar Oleh Nafsu Yang Membuat Saya Ingin Menguji Keamananya.



Sebelumnya, Saya Sudah Menargetkan Untuk Hari Kegalauan Cukup 1 Bug Yaitu Xss.

Pada Saat Saya Login Ke Akun Member IDWebhost, Saya Mencoba Semua Input Untuk Saya Test, Namun Alhasil Null.

Ketika Saya Coba Untuk Mengetest Input Umum Pada Laman Pun Sama Null.



Disini Saya Keliengan Dan Terdiam Sekejap Sembari Ngopi.


Namun, Saya Tidak Berhenti Ditempat,
Saya Pun Lanjut Mencari Fitur Yang Jarang Terlihat.

Dan Sayapun Menemukan Fitur Email Forwarding, Disitu Saya Coba Untuk Masukan Beberapa Payload Yang Cocok, Namun Sepertinya Tidak Berjalan Juga.

Karena Ini Fitur Terakhir Yang Saya Uji, Saya Pun Mencoba Untuk Membypassnya Hingga Akhirnya Saya Menemukan Sesuatu Yang Aneh Alias Error Pada Filterisasi Inputan Email Tersebut. 


Dan Ketika Saya Masukan Payload Yang Sudah Saya Rancang, Lalu Saya Ekseskusi BOOM.!

Tidak Berhasil.



Saya Berpusing" Selama Beberapa Menit, Dan Akhirnya Saya Mendapatkan Sebuah Ide.

Kalau Inputan Normalnya Memblock Pada Akses ***, Berarti Bisa Saya Reg Validasinya.

Hingga Akhirnya Pun  Berhasil Menjalankan Xss Dengan Membypass Validasinya 

Payload :
{{constructor.constructor('alert(document.cookie)')()}}



Reward? 
Sertifikat & Uang


Timeline : 

 
 1 sep 2020 : Report Bug
 1 sep 2020 : Check Bug & Valid
 3 sep 2020 : Patch Bug & Send Reward
 4 sep 2020 : Send Certificate

Note: Only a member of this blog may post a comment.