IDOR at https://pay.mamikos.com/

Assalamualaikum Bug Hunter & Teman-teman semua.

Dikesempatan kali ini saya bakal share write up bug IDOR di situs https://mamikos.com/ .

Baiklah langsung saja ke topik pembahasan nya :D

Awalnya saya hanya iseng-iseng ingin melakukan penetration testing di situs tersebut.

Ketika saya mencoba melakukan order di situs tersebut, saya menemukan sebuah url payment. Dan saya pun tertarik dengan url tersebut hingga mencoba mengetest nya ke IDOR.

Url vuln :

https://pay.mamikos.com/invoice/select-payment/{PARAMETER_ORDER}/

Url diatas merupakan url paymentnya. Dan disana berada di subdomain https://*.mamikos.com/ yang artinya url tersebut bisa diakses karena tidak ada authentikasi berupa login akun terkait atau akun pengguna terlebih dahulu. Dan tentu itu berpotensi memiliki bug IDOR.

Kemudian saya mencoba melakukan pencarian PARAMETER ORDER secara RANDOM.

Lalu setelah saya berhasil menemukan PARAMETER ORDER nya, dan itu bisa diakses oleh publik, atau siapapun.

Dan di fitur tersebut saya mendapati :

  1. Order Yang dilakukan All User
  2. Order menggunakan mami point All User

Kemudian saya mencoba menghubungi pihak Mamikos dan melaporkanya langsung kepada mereka.

Dan tak lama setelah itu saya mendapatkan sebuah alasan kenapa itu bisa di akses :D berikut penjelasan yang diberikan pihak Mamikos kepada saya :

Untuk invoice, saat ini memang kami set as public. Alasannya karena untuk user experience agar invoice bisa dibayarkan oleh orang lain. Misalnya anak kos yang dibayarkan biaya sewa kosnya oleh orang tuanya. Mengapa mamipoint bisa dipakai oleh pembayar invoice, agar poin tersebut bisa tetap digunakan sebagai potongan pembayaran.

Dan saya pun terdiam sejenak dan mencoba melihat kembali kerentanan nya, dan akhirnya saya menemukan fitur Bukti Pembayaran yang berisikan sebuah file PDF yang berisi data sensitif pengguna yang Berhasil melakukan Order.

Kemudian saya mencoba melaporkannya kembali impact ini ke pihak Mamikos, dan hasilnya dinyatakan "Valid" oleh pihak Mamikos :D

Timeline :

Report : 27/01/2021

Valid : 10/02/2021

Bug fix development : 10/02/2021

Pemburu Bug & Pengujian Penetrasi

Pemburu Bug & Pengujian Penetrasi