VULNERABILITY XSS REFLECTED DI PAGE BERITA DI SITUS INEWS.ID

Hi, Bug Hunter & teman-temanku semua.

Di write upku yang kedua ini ingin menuliskan tentang vulnerability XSS REFLECTED di PAGE BERITA tepatnya di situs INEWS.ID.

https://www.inews.id/news/nasional/akselerasi-pemulihan-ekonomi?page=2

Dari url di atas memiliki rentan di XSS REFLECTED.

Tidak semua sih yang memiliki rentan XSS di bagian tersebut, tetapi ada beberapa yang masih belum di atasi dengan filter input atau waf.

Payload yang digunakan :

"><img src=x onerror=prompt(document.domain)>

Final url :

https://www.inews.id/news/nasional/akselerasi-pemulihan-ekonomi?page=2"><img src=x onerror=prompt(document.domain)>

Selang beberapa hari sudah di atasi oleh DEVELOPER dari pihak MNC GROUP, dan saya coba cek kembali dan tidak berhasil menemukan celah XSS REFLECTED nya. Dan saya pun berhenti sejenak melihat url nya dan saya coba untuk mengedit url nya menjadi :

https://www.inews.id/news/nasional/akselerasi-pemulihan-ekonomi/2

Dan ternyata kembali seperti normal tampilannya dan tidak ada not found.

Dan saya mencoba untuk menginput tag XSS nya.

Tag yang digunakan :

"><img src=x onerror=prompt(document.domain)>

Final url:

https://www.inews.id/news/nasional/akselerasi-pemulihan-ekonomi/2"><img src=x onerror=prompt(document.domain)>

Dan muncul pop up xss nya.

Dan ini diluar ekspektasi saya hehe :D

Report : 14 oktober 2020

Fix : 15 oktober 2020

Reward : -