Setelah beberapa waktu berburu di program bugbounty saya mencoba untuk berburu di alam liar menggunakan dorking untuk mencari program yang menjalankan bugbounty. saya menggunakan dork inurl:/responsible-disclosure, dan saya menemukan satu program yang cukup menarik. sebut saja namanya nakano.com (untuk mempermudah pemahaman karena pemilik program tidak mengizinkan namanya di publikasikan) dan waktunya untuk bersenang-senang
saya segera membuka alat recon dan mengumpulkan semua yang di butuhkan. sambil menunggu proses auto recon selesai saya melihat-lihat beberapa fitur target. dan di situ juga terdapat webhooks yang kemungkinan rentan terhadap SSRF. langsung saja pertama saya membuat akun pengujian dan setelah beberapa menit saya menemukan XSS yang tersimpan pada halaman profil. lanjut lagi karena saya tidak menargetkan untuk XSS saja. pada bug ke dua saya menemukan ATO (Account TakeOver) via parameter tampering. sepertinya ini terjadi karena token tidak di validasi dengan benar. permintaan terlihat seperti:
saya mengganti parameter email ke email korban dan ketika permintaan di teruskan saya masuk ke akun korban beserta password korban yang telah di ganti dengan password yang saya masukan sebelumnya. lanjut ke perburuan berikutnya, karena saya sudah menemukan bug saya tidak akan berhenti dengan dua bug itu saja dan melaporkannya, saya terus berburu dan menemukan bug lainnya.
setelah bug ATO saya fokus pada fitur webhooks, hmm sepertinya ini akan rentan terhadap SSRF tetapi setelah mencoba mereka memblokir semua protokol dan mengizinkan hanya HTTP dan HTTPS saja. tidak masalah saya masih bisa menggunakannya tetapi alamat ip juga di blokir di sini dan hanya mengizinkan DNS. setelah 15 menit mencoba saya tidak dapat melewatinya tapi tunggu sesuatu terus mengatakan bahwa itu masih rentan. bertanya ke teman saya "Google" dan saya menemukan SSRF via DNS rebinding. tools:https://github.com/daeken/httprebind atau bisa pakai http://rbnd.gl0.eu/, kemudian saya mencoba alat tersebut. karena saya tahu nakano.com menggunakan AWS jadi saya langsung memakai AWS. mereka memeperbaikinya dengan menghapus fitur webhooks, padahal masih ada cara lain tapi ya itu terserah mereka.
ketika ada panggilan ke url webhooks itu akan membocorkan kredensial AWS milik mereka.
berhenti disini? tentu saja tidak. bug selanjutnya saya menemukan RCE di subdomain di bagian unggahan foto profil, dan menemukan SQLi juga di subdomain. bagian ini sepertinya tidak perlu di jelaskan karena banyak juga tutorial yang membahas RCE di unggahan foto. untuk SQli saya menemukan parameter tersembunyi menggunakan Arjun. karena sudah cukup lelah saya menghentikan perburuan dan membuat laporan. di halaman responsible di sebutkan nakano.com akan memberikan bounty (hadiah) tetapi tidak di sebutkan jumlahnya.
setelah dua minggu menunggu mereka mengatakan akan melakukan perbaikan tetapi hadiah belum di tentukan. tiga minggu setelah pengiriman laporan mereka menghapus halaman responsible disclosure dan setelah 5 bulan mereka menghubungi saya lagi dan
tetapi sampai sekarang bounty belum di kirimkan. beberapa Bug satu hadiah? ya mungkin terlihat tidak adil tetapi di sisi lain saya senang karena bisa mendapatkan beberapa bug yang unik, jangan berhenti dengan satu bug dan jangan lupa pikirkan dampak Bug yang anda temukan.
terimakasih telah membaca dan jika ada yang ingin di tanyakan hubungi saya di sini.