Bussines Logic Vulnerability in the Add Post Feature on the Discussion Forum Only with an Account that Has Expired Its Active Period and Never Joined the Class Potential Unlimited Post Spam

Assalamualaikum Bug Hunter & Teman-teman smua.

Di write up kali ini tentang Bussines Logic Vulnerability di situs Dicoding.com

Di kasus ini Pengguna yang tidak Sah atau Belum Berlangganan di Dicoding.com bisa mengakses kelas lalu membuat postingan di Fitur Forum Diskusi.

Baiklah langsung saja ke topik pembahasan nya.

Pertama saya menyiapkan 2 akun yakni :

  • Akun Trial 15 Hari
  • Akun habis masa Trial 15 Hari

Lalu langkah pertama mencari URL Post Diskusi nya terlebih dahulu menggunakan Akun Trial 15 hari :)

Berikut URL nya :

https://www.dicoding.com/academies/[parameter_class]/discussions/create

Awalnya saya tidak mengira ada kecurigaan dari URL POST tersebut :D

Selanjutnya saya mencoba mengganti akun dengan akun yang sudah habis masa Trial 15 Hari, dan kemudian mencoba POST URL diatas.

Dan diarahkan ke halaman input form CREATE DISKUSI.

Kemudian coba Input Pada Form tersebut. Dan ternyata hasilnya :

muncul pesan warning ( Maaf, Anda tidak memiliki izin untuk mengakses diskusi ini! )

Terdiam sejenak dan melupakan hal itu karena hanya dengan pesan Warning Diatas :(

Dan mencoba login dengan akun Trial 15 Hari tadi dan tak sengaja melihat postingan yang di POST pada Fitur Forum tadi :D

Ternyata Pesan warning ( Maaf, Anda tidak memiliki izin untuk mengakses diskusi ini! ) Hanyalah pesan Warning karena tidak tergabung ke kelas. Dan POST yang di Upload ke Fitur Forum Diskusi berhasil.

Timeline :

Report : 02/03/2021

Respond : 03/03/2021

Valid Report : 10/03/2021

Rewards : 15/03/2021

- Paket Berlangganan Dicoding.com 30 Hari

Pemburu Bug & Pengujian Penetrasi

Pemburu Bug & Pengujian Penetrasi