XSS STORED at Dicoding.com through an error in the processing of image input encoding displayed to the public

Assalamualaikum Bug Hunter & Teman-teman semua.

Di write up kali ini tentang XSS STORED di Dicoding.com

Awalnya saya sempat melihat postingan salah satu Bug Hunter Asal Indonesia yang menemukan bug di Dicoding.com

Lalu sempat penasaran juga dan mencoba mencari kembali di situs dicoding.com dan menemukan sebuah kesalahan dalam memproses encoding pada fitur upload IMAGE.

Berikut gambaran source code nya :

“><img src=”https://img_location/img_name.jpg" alt=”{PAYLOAD}” title=’TITLE_IMG’>

Final :

“><img src=”https://asset.kompas.com/crops/AOqycoSV_pH5eU51rYStWW_zVFY=/1x0:1000x666/750x500/data/photo/2019/11/04/5dbfff829ebe6.jpg" alt=””autofocus onclick=”prompt(1)” title=’”autofocus onfocus=prompt(1)>’>

Awalnya saya berfikir itu kesalahan berada pada title IMAGE, dan lalu mencoba melakukan kembali ke situs lain dengan target pada title IMAGE , Dan ternyata hasilnya nothing :( . Lalu tanpa sengaja mencoba menargetkan ke element ALT IMAGE, Dan Booms, berhasil :)

Berikut screenshot source code di URL yang memiliki kerentanan yang sama :

Lalu Klik IMAGE, dan Pop Up muncul :)

Timeline :

Report : 11/02/2021

Fix : 11/02/2021

Valid Report : 15/02/2021

Reward : on process