XSS REFLECTED On Site https://accounts.bukalapak.com/

Assalamualaikum Bug Hunter & Teman-teman semua.

Dikesempatan kali ini saya menyempatkan diri untuk menulis kembali artikel write up temuan Celah Keamanan ( Bug ) Di Program BukaBounty ( Bukalapak Bug Bounty Program ).

Baiklah langsung saja ke topik pembahasan nya.

Kerentanan yang saya temukan di BukaLapak adalah XSS REFLECTED.

XSS REFLECTED berada di url :

https://accounts.bukalapak.com/register?comeback=javascript:prompt(document.domain)&from=home_mobile

Dan selanjutnya diarahkan ke halaman Register.

Lalu silahkan Register, Bisa manual dan bisa menggunakan Pihak Ketiga ( Google dan Facebook).

Disini saya mengambil langkah via Pihak Ketiga ( Google ). Karena demi keamanan juga :D jika saya memakai cara manual, maka akan disuruh memasukkan password :'(

Klik ikon "Google"

Dan lalu akan diarahkan ke halaman Sukses Pendaftaran Akun.

Selanjutnya klik Icon "Mulai Belanja"

Dan pop up muncul :D

Timeline :

Report : 12/03/2021

Valid : 14/04/2021

Level : low impact ( Karena membutuhkan beberapa aksi yakni berupa (isi formulir, verifikasi akun, isi password, dst) )

Rewards :

- Wall Of Fame BukaBounty ( https://bukalapak.github.io/bukabounty/ )