( $1000 ) Insecure direct Object References (IDOR) Via TakeOver Unsubscribe Feature

screenshot sudah saya edit semua agar tidak ada yang diungkapkan
screenshot ketika beberapa fitur di Subscribe di aktifkan ( akun pengujian 1 )
screenshot fitur subcribe di akun pengujian 2
  1. Saya setuju bahwa dilaporan aslinya juga membahas temuan terkait fitur Unsubscribe juga, tetapi langkahnya berbeda.
  2. Di laporan aslinya memberikan langkah unsubscribe melalui sebuah URL, dan kemudian setelah itu, attacker diminta memasukkan email akun yang terhubung ke website itu. Dan ini sangat berbeda dengan temuan saya.
  3. Di analisa nomor 2, ketika attacker diminta memasukkan email akun yang terhubung ke website itu, maka disini langkah attacker sangat terbatas, karena attacker harus mengetahui email korban yang terhubung dengan akun website itu, dan jelas ini mempengaruhi penilaian risk severity nya.

--

--

--

Pemburu Bug & Pengujian Penetrasi

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Aidil Arief

Aidil Arief

Pemburu Bug & Pengujian Penetrasi

More from Medium

How I downed acronis.com in 2 minutes — Lucky bug write up

OTP bypass via response manipulation

LENOVO OPEN REDIRECTION

✨Open redirect on third party🤫🤔