{Write Up-Bug Bounty} Reflected XSS dan HTML Injeksi pada https://citrasms.com/

Hallo sobat ambyar

Nah perkenalkan saya Rahmadhani Novian Jaya, Salah satu pentester dari Sampit, Kalimantan Tengah


Pada 7 November 2019 saya mencoba melakukan pentest terhadap situs CitraHost akan tetapi tidak berhasil dan saya melihat pada bagian bawah web CitraHost sendiri terdapat beberapa anak perushaaan istilahnya dan saya tertuju pada https://citrasms.com/ Saya pun mencoba kesitus tersebut untuk mencari bug siapa tau dapat ya kan wkwkw.

Saat saya membuka web tersebut saya merasa wah ini keknya vuln Reflected XSS nih saya coba memakai payload legendaris saya alhasil XSS tersebut berjalan dengan cara dibawah ini.


1. buka web https://citrasms.com untuk melakukan pentest
2. kemudian jika sudah terbuka pada bagian header kanan terdapat
search untuk melakukan pencarian di web https://citrasms.com
3. masukan payload di web tersebut dengan payload :
-TEST<br><br><center><font color="red">Hacked by THx17k<br><br><img
src=x onclick=alert(document.cookie)><br><br><img src=x
onclick=alert(document.domain)>
4. dan akan terjadi bug HTML Injeksi dan Reflected XSS yang dimana
tulisan warna merah adalah HTML Injeksi dan gambar IMG rusak adalah
alert


Usai mendapat bug tersebut saya pun memutuskan untuk mereport bug tersebut kepada pihak CitraHost dengan format laporan yang tak beraturan yaitu cuman tulisan saja wkwk.

Dan pada hari yang sama email saya dibalas oleh pihak CitraHost dengan mengatakan bahwa pihak terkait akan memberikan sebuah hosting bravo dan domain .com selama setahun untuk reward atas pelaporan bug tersebut agar lebih jelas nya saya akan berikan screen shot nya dibawah.

Dan dengan dikirim nya email tersebut saya langsung mendaftar domain dengan extensi .com yang beralamatkan kepada rahmadhaninovianjayaa.com seharga 350 ribu secara gratis dan pada tiga hari setelahnya domain saya langsung di aktifkan oleh pihak CitraHost.
Ya lumayan lah tidak mengeluarkan uang lagi untuk membeli domain wkwkwk dengan didapatkannya domain gratis dari pihak CitraHost. Untuk Hosting nya sendiri cukup lambat ketika masuk ke Cpanel nya entah karena saya di beri atau kenapa saya tidak tau juga


TimeLane :
Thu, Nov 7 2019, 8:28 AM : Bug Reporting
Thu, Nov 7 2019, 11:41 AM : Email balasan + Reward Domain dan Hosting 







 

Belum ada Komentar untuk "{Write Up-Bug Bounty} Reflected XSS dan HTML Injeksi pada https://citrasms.com/"

Posting Komentar

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel