paket wisata belitung

writeup bug reflect xss website tirto.id version mobile android chrome

writeup bug reflect xss website tirto.id version mobile android chrome

hallo bug hunter,

kali ini saya mau bikin writeup reflect xss pada web tirto.id

web tirto?

siapa sih yang gak tau website media yang lumayan besar..

kenapa saya bilang besar?

ya karena dalam page rank alexa aja ud masuk top global loh

tirto rank alexa

oh iya,

ini untuk yang ke-2 kali nya saya nemuin bug xss hehe

ok langsung aja ya

pertama saya membuka web tirto.id menggunakan hp dan otomatis user agent yang kedetek pasti android dunk ✌️

terus saya masuk ke pencarian dengan mengetik kata dpr.

lah kok dpr sih?

ya gpp pengen ngetik dpr aja :v

masuk ke address bar tambahin payload “+onmouseover=alert(document.cookie) sec=Analysts”>

dan xss pun tertriage :D

tirto xss

bug tersebut sudah di fix dari devlop nya,

Report : 3 Nov 2019

Fix :4 Nov 2019

Confirm :13 Jul 2020

Reward :28 juli 2020

simple video :

 

#tirto , #bugbounty , #bugbountyid , #bughunter , #bountyhunter , #whitehat , #tirtobugbounty , #reflectXSS , #XSS , #SecAnalysts

Facebook | Twitter | WhatsApp | Cetak