writeup bug reflect xss website tirto.id version mobile android chrome

writeup bug reflect xss website tirto.id version mobile android chrome

hallo bug hunter,

kali ini saya mau bikin writeup reflect xss pada web tirto.id

web tirto?

siapa sih yang gak tau website media yang lumayan besar..

kenapa saya bilang besar?

ya karena dalam page rank alexa aja ud masuk top global loh

tirto rank alexa

oh iya,

ini untuk yang ke-2 kali nya saya nemuin bug xss hehe

ok langsung aja ya

pertama saya membuka web tirto.id menggunakan hp dan otomatis user agent yang kedetek pasti android dunk ✌️

terus saya masuk ke pencarian dengan mengetik kata dpr.

lah kok dpr sih?

ya gpp pengen ngetik dpr aja :v

masuk ke address bar tambahin payload “+onmouseover=alert(document.cookie) sec=Analysts”>

dan xss pun tertriage :D

tirto xss

bug tersebut sudah di fix dari devlop nya,

sampai witeup ini saya buat,

para devlop tidak ada meresponse balasan email saya..

untuk para bug hunter saya rasa jangan merasa kecewa,

lanjutkan kegiatan baik kalian :)

simple video :

 

#tirto , #bugbounty , #bugbountyid , #bughunter , #bountyhunter , #whitehat , #tirtobugbounty , #reflectXSS , #XSS , #SecAnalysts

Facebook | Twitter | WhatsApp | Cetak

d