XSS STORED BYPASS FILTER DI SITUS DICODING.COM VIA FROALA EDITOR

Hi, Bug Hunter & Teman-teman semua.

Di kesempatan kali ini write up saya tentang XSS STORED BYPASS FILTER DI DICODING.COM VIA FROALA EDITOR.

Baiklah langsung saja ke topik pembahasan nya.

Sebelumnya saya menemukan kerentanan SELF XSS di situs DICODING.COM , lalu saya mencoba melaporkannya ke pihak DICODING.COM . Dan sempat terjadi perdebatan tentang kasus bug tersebut juga :D

Lalu saya mencoba mengecek kembali dan hingga akhirnya saya menemukan sebuah kerentanan XSS STORED di situs DICODING.COM , lalu saya melaporkannya ke CTO dicoding.com nya.

Vuln nya terdapat di fitur editor froala di Pengaturan Akun.

Final Payload :

<u title='<noscript>"><img src=x onerror=prompt(1)></noscript>'>

Dan pop up muncul :D

Pop up Di dicoding.com

Timeline :

Report : 27/01/2021

Valid Report : 28/01/2021

Level Bug : medium criticality

Rewards : on process

Pemburu Bug & Pengujian Penetrasi