XSS STORED BYPASS FILTER DI SITUS DICODING.COM VIA FROALA EDITOR
Hi, Bug Hunter & Teman-teman semua.
Di kesempatan kali ini write up saya tentang XSS STORED BYPASS FILTER DI DICODING.COM VIA FROALA EDITOR.
Baiklah langsung saja ke topik pembahasan nya.
Sebelumnya saya menemukan kerentanan SELF XSS di situs DICODING.COM , lalu saya mencoba melaporkannya ke pihak DICODING.COM . Dan sempat terjadi perdebatan tentang kasus bug tersebut juga :D
Lalu saya mencoba mengecek kembali dan hingga akhirnya saya menemukan sebuah kerentanan XSS STORED di situs DICODING.COM , lalu saya melaporkannya ke CTO dicoding.com nya.
Vuln nya terdapat di fitur editor froala di Pengaturan Akun.
Final Payload :
<u title='<noscript>"><img src=x onerror=prompt(1)></noscript>'>
Dan pop up muncul :D
Timeline :
Report : 27/01/2021
Valid Report : 28/01/2021
Level Bug : medium criticality
Rewards : on process
