Tampilkan postingan dengan label Bug Bounty. Tampilkan semua postingan
Tampilkan postingan dengan label Bug Bounty. Tampilkan semua postingan
Bug Bounty : Reflected XSS / Cross Site Scripting pada Instagram Tools yang dibuat oleh Teguh Aprianto. - Pada artikel kali ini saya akan membahas Bug Bounty dari Bpk Teguh Aprianto beliau merupakan Founder & Contributor Ethical Hacker Indonesia, namanya telah dikenal luas oleh para kalangan cyber.

Sebenarnya Dia tidak membuka Bug Bounty tapi tangan saya yang iseng ini gatal rasanya ingin mengetest keamanan pada toolsnya jadi apa salahnya kalau saya coba? hehe, dan selang beberapa menit saya pun langsung menemukan bug Reflected XSS pada Halaman Instagram Profile Lookup, gausah ngomong panjang lebar langsung saja lihat stepnya dibawah.


Jadi, berawal dari saya melihat postingan Facebook dari Bpk Teguh pada jam setengah 8 ( kurang lebih )


Saya melihat dia meluncurkan Tools buatannya yang bernama Instagram Tools, disitu langsung saja saya mencoba untuk menggunakan tools itu, Tools yang saya gunakan adalah Instagram Profile Lookup, Tools ini fungsinya untuk mendapatkan informasi detail pada akun instagram.

Dengan Tools ini saya bisa melihat Photo Profile, Followers, Following dan Bio seseorang tanpa perlu harus membuka instagram langsung, sebenarnya masih ada lagi sih, seperti mengecek akun private,bisnis dan ter-verifikasi atau tidak. 

Langsung saja saya mencobanya dengan memasukkan username Instagram saya yaitu naufalardhani_, kalau bisa di follow ya kawan kawan nanti saya follback hehe.


Nah tools berjalan dengan baik, menampilkan informasi tentang akun saya, dan saya kepikiran untuk melakukan XSS / Cross Site Scripting pada tools itu, karena disitu Bio saya tertulis "Security Researcher & Blogger" saya langsung saja mencoba mengganti Bio akun IG saya dengan Payload XSS, Payload = <script>alert("XSS")</script>.


Dan bio saya pun sudah berhasil diganti dengan payload XSS, lalu saya coba lagi menggunakan tools Instagram Profile Lookupnya untuk melihat payload saya tereksekusi dengan baik atau tidak.


Dan benar saja payload saya tereksekusi pada halaman tersebut, Yeayy!!!


Sehabis itu saya langsung meng-Report bug tersebut kepada Bpk Teguh Aprianto dan kemudian bug tersebut langsung di patch, lalu saya di kontak langsung oleh beliau melalui chat Facebook meminta informasi alamat rumah saya guna untuk pengiriman reward.

Reward :

  • Raspberry
  • Kaos Ethical Hacker Indonesia


Sekian saja write up kali ini, saya hanya bisa menyampaikan seperti ini, mohon maaf kalau bahasa yang saya gunakan tidak bagus, semoga bermanfaat untuk kalian semu, jika ada yang ingin ditanyakan langsung saja bertanya di kolom komentar.