5 Februari 2020, Bulan dimana saya memasuki bulan ke-2 program apprentice di salah satu IT Konsultan di Bogor.
Semua berawal ketika saya duduk di kursi kerja, dan merasa bosan, karena sudah menyelesaikan pekerjaan saya. Seketika langsung saja saya ketikkan di terminal kesayangan amass enum -d tokopedia.net,tokopedia.com -json tokopedia-subdomains.json.
Menunggu dengan mata yang sayup-sayup mengantuk saat tengah hari, di bawah AC yang sangat dingin. Saya lihat hasil output dari amass cat tokopeda-subdomains.json | jq '.name' | tr -d '"'.
Saya mencoba melihat baris demi baris, dari nama-nama subdomain yang didapat, tapi tak ada yang menarik.
Kemudian saya lanjutkan melakukan request ke semua subdomain yang didapat untuk mengetahui protokol yang tersedia http/https cat tokopeda-subdomains.json | jq '.name' | tr -d '"'| httprobe | tee -a results.
Lalu saya melakukan request lagi menggunakan meg untuk mendapatkan semua content, yang ada di setiap subdomain, meg / results all-front-index
-
Argumen
/digunakan untuk men-spesifikasikan path apa yang akan coba diakses, dalam kasus ini saya menggunakan/, contoh request yang akan terbuat adalahtokopedia.com/yang mana seharusnya akan mengarah ke front page index halaman domain tersebut. -
Argumen
resultsmerupakan nama file yang berisikan listdomainlengkap dengan protokol yang terdeteksi olehhttprope. -
Argumen
all-front-index, merupakan nama folder yang akan terbuat dan menyimpan semua content hasil darirequestyang dilakukan oleh meg.
Setelah proses request menggunakan meg selesai, langsung saja saya berpindah direktori cd all-front-index, dan eksekusi gf urls, maka munculah semua string yang match dengan pattern regex url
Dengan mata yang semakin mengantuk, saya melihat ke baris demi baris berharap dewi fortuna berpihak, dan terlihatlah sesuatu yang menarik perhatian saya.
Dengan sedikit harapan, percobaan eksekusi XSS dimulai :
-
https://www.tokopedia.com/amp/find/<script>alert(1)</script>Fail -
https://www.tokopedia.com/amp/find/"><img src onerror=alert(1)"</script>Fail -
https://www.tokopedia.com/amp/find/{><img src onerror=alert(document.domain)}XSS Fired
Dengan menambahkan cruly brackets, filter content yang telah diterapkan di input form tersebut di-render, menjadi bagian dari halamat tersebut.
Seketika mata saya yang sebelumnya mengantuk berat, jadi bagaikan terkena boncabai..
Dari saat itu saya cukup rajin untuk melakukan uji coba ke beberapa scope tokopedia.
Untuk soal "Reward" di tokopedia memang tidak sebesar big company di hackerone dan Bugcrowd. But, money is the not only priority, maybe money's the motivation; but not one and only.