بسم الله الرحمن الرحيم

Belakangan ini saya sedang fokus mempelajari salah satu jenis kerentanan XSS yang disebut Blind XSS. Kerentanan XSS ini menarik karena tidak seperti XSS pada umumnya, payload yang dikirim akan ter-eksekusi di laman yang berbeda. Skenario yang digunakan pada serangan ini adalah ketika kita dapat mengirimkan sebuah informasi dan informasi tersebut ditampilkan pada tempat yang berbeda, semisal halaman Administrator atau sejenisnya.


Apa itu XSS Hunter?

Dikarenakan informasi dan payload yang kita kirimkan ter-eksekusi di tempat yang berbeda (terkadang di tempat yang tidak dapat kita jangkau), maka kita pun tidak mengetahui kapan payload tersebut akan ter-eksekusi. Untuk itu, kita dapat menggunakan sebuah tools bernama XSS Hunter. Tools ini membantu memberi notifikasi ketika payload yang kita kirimkan ter-eksekusi, lengkap beserta informasi detail terkait dimana tepatnya payload kita ter-eksekusi.

Blind XSS on Internal Panel Tokopedia

Penggunaan tools ini sangat mudah, kita diberikan berbagai jenis payload yang dapat langsung kita gunakan.

Fitur Ban Product Tokopedia

Tokopedia memiliki fitur bernama Ban Product dimana kita dapat melaporkan suatu produk yang terdaftar di Marketplace tersebut dengan alasan tertentu. Pada halaman tersebut, terdapat sebuah form dengan berbagai informasi yang harus kita isi untuk dapat melaporkan suatu produk.

Blind XSS on Internal Panel Tokopedia

Saya berasumsi bahwa setelah kita mengirimkan laporan, maka akan ada tim dari Tokopedia yang bertugas untuk melakukan investigasi terhadap laporan tersebut. Artinya, informasi yang kita kirimkan akan di-review secara manual oleh tim Tokopedia. Ini merupakan tempat yang cocok untuk menguji kerentanan Blind XSS.

Pada prosesnya, saya meng-inputkan payload XSS Hunter pada kolom Nama pada form tersebut.

Blind XSS on Internal Panel Tokopedia

Sampai pada posisi ini, yang dapat dilakukan hanya menunggu berharap payload akan ter-eksekusi di suatu tempat.

XSS Triggered!

Setelah menunggu beberapa hari, saya mendapat email notifikasi dari XSS Hunter bahwa payload yang saya kirimkan ter-eksekusi di halaman internal Tokopedia, tepatnya di subdomain internal.tokopedia.com. Saya pun segera mengeceknya di XSS Hunter dan benar saja payload ter-eksekusi dan didapat informasi terkait laman tersebut seperti Screenshot, Endpoint, IP Address, dll.

Blind XSS on Internal Panel Tokopedia

Blind XSS on Internal Panel Tokopedia

Tidak lama saya segera mengirim laporan ke Tim Security Tokopedia, dan kerentanan tersebut diperbaiki dengan cepat.

Timeline:

2018-10-04: Report Sent
2018-10-04: Tokopedia Security Team Responded
2018-10-18: Vulnerability Fixed
2018-10-30: Bounty Awarded