XSS STORED at https://s.helo-app.com/ Via Add Posts With Account Names Using XSS Tags

Assalamualaikum Bug Hunter & Teman-teman semuanya. Di kesempatan kali ini saya bakal menuliskan Write Up Temuan Celah Keamanan di Situs https://s.helo-app.com/ .

Sedikit informasi, situs https://s.helo-app.com/ adalah situs dari pihak aplikasi Helo yang digunakan untuk melihat hasil bagikan via website dari aplikasi Helo .

Baiklah langsung saja ke topik pembahasan artikel ini. Langkah-langkah saya dalam mereproduksi perilaku ini :

Pertama, saya hanya iseng atau penasaran saja ingin menguji perilaku ini hingga mencoba mendownload aplikasi Helo

Dan setelah itu disana ada fitur upload postingan.

Kemudian saya mencoba input payload XSS disana :D , Dan postingan berhasil diupload.

Pop up tidak muncul?

Terdiam sejenak melihat fitur apa saja yang ada disana, hingga akhirnya menemukan sebuah fitur bagikan postingan.

Dan kemudian saya mendapatkan sebuah url :

Lalu pastinya langsung gercep akses url tersebut via browser :D

Dan pop up tidak muncul juga :(

Apa yang terjadi?

Lalu saya coba view-source, dan ternyata sudah di filter :(

Terdiam sejenak lagi melihat isi view-source nya :( asli gabut banget aku wkwk :v

Dan booms, ternyata di sini input nama tidak difilter :D

Lalu saya coba buka aplikasi Helo kembali dan mengubah nama akun menjadi :

<script>alert(1)</script>

Kemudian akses url lokasi postingan tadi.

Pop up muncul :D

Timeline :

Report : 7/06/2021

Forward Report to Security ByteDance : 10/06/2021

Respond : 11/06/2021

Fix : 11/06/2021

Rewards : Certificate ( On Procces )