Bug Bounty Pertama - IDOR (Insecure Direct Object References)


Hello kenalin gua Salman aka Chiper, Dikesempatan kali ini gua bikin write up bounty pertama gua. Cerita tentang gimana caranya bikin report yang baik dan bener. Sebelumnya gua sering banget buat nge report bug yang gua temuin, tapi... ga ada satupun report gua yang dikasi reward.. gua juga sering deface in web web yang punya bug dengan risk level tinggi karna dah kapok nge report bug... boro boro makasi kadang malah dimarahin ama admin web...

Singkat cerita gua nemu fanspage nakanosec, disitu sering sharing tutorial tutorial bug bounty... Gua inisiatif buat minta tolong ke mereka gimana cara laporin bug yang baik dan bener.. setelah minta saran ini itu, ternyata selama ini gua salah cara report bugnya.. buat lo yang pengen tau gimana cara report bug yang bener bisa liat disini . Intinya selama ini gua report bugnya ngasal. Sekarang gua mulai ceritanya

Kronologi
Gua beli tiket konser disalah satu situs yang lumayan gede.. ya gua sih santai ae ganiat nyari bug.. gua beli tiket... pilih kelas tiket konser... ada no rekening si admin web... bayar...

Nah masalahnya disini.. setelah w bayar gua di redirect ke http://redacted.com/order.php?id=1234 

Disituasi yang seperti ini, dan dengan kondisi seperti ini apa bug yang mungkin kalian temuin? Yaps IDOR (Insecure Direct Object References)..

IDOR atau Insecure Direct Object Reference adalah vulnerability yang sering muncul karena tidak adanya pengecekan hak akses user terhadap suatu objek (data). User bisa mengubah key yang jadi reference ke objek (misalnya ID di database) dan bisa mendapatkan akses ke data (bisa melihat atau malah bisa mengubah juga). Vulnerability ini bisa terjadi di mana saja, tidak terkait pakai bahasa pemrograman, database, atau platform apapun.

Pas gua diredirect ke http://redacted.com/order.php?id=1234 info kayak nomer hp, email,nomer rekening, alamat dan lain lain muncul..
gua coba buat ubah ke http://redacted.com/order.php?id=1235 dan boom... sensitif information leaked...

Setelah itu gua coba buat logout dan coba akses http://redacted.com/order.php?id=1235 hasilnya gua ga bisa liat informasi yang tadi (Ini adalah basic teknik buat cari tau itu bug IDOR atau cuma fitur).

Setelah itu gua bikin report yang ala ala orang pro kayak yang dipostingan nakanosec tadi.. Sebelum gua kirim gua tanyain ada bounty ga? Trus dijawab dia pengen liat dulu bugnya... Oke langsung gua kirim report yang udah gua bikin tadi ke adminnya...

Respond

Admin dari yang punya situs suka dengan cara pelaporan celah yang gua buat utamanya pada pembuatan detail report (.pdf) gua... ahirnya kita meetup bareng CTO yang punya web.. Setelah berbincang bincang saya diberikan reward, tawaran sebagai pentester private, tawaran menjadi backend developer...

Tawaran pentester saya terima,, tawaran backend developer saya tunda dulu karna masih kelas 10.. tapi setelah lulus setidaknya saya tau harus kemana...

-Salman

Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.