Hallo, salam kenal aku Dhani CEO dari PT Borneo Secode Digital dan juga Lead QA di sebuah startup. Disini aku pengen share pengalamanku dalam perburuan bounty hunter hehe.
Yuk langsung aja jadi ini sebuah startup yang lumayan gede ya udah seri b funding nya hehe yaa tapi undisclosed jadi kita kasih nama samaran situsnya xxx.com aja oke.
Jadi awal mula nya aku iseng nih kepoin jobs jobs di techinasia kemudian aku ngeliat sebuah startup yauda karna tangan ku gatel aku coba coba deh buat testing website nya hehe pada awalnya seperti website biasa kita daftar terlebih dahulu dan akupun mengeluarkan jurus XSS andalanku untuk bagian nama tapi tidak tereksekusi.
Okelah aku berfikir ini ga vuln XSS setelah verifikasi email aku login dan ternyata ada sebuah form untuk upload foto dan akupun berfikir oh ini keknya bisa deh di upload pake file svg gitu jadi ku coba dan bommmmm bisa.
Dudududu uda dapat XSS nih lalu aku masih penasaran apakah bisa untuk di upload file dengan extensi PHP lalu akupun nyoba lagi hehe dan ternyata file upload nya ga di filter sama dev nya jadinya aku bisa upload file PHP nya.
Ya u know lah apa yang aku bisa lakukan setelah aku masuk ke sistem mereka lewat backdoor hehe dan aku mendapatkan ratusan ribu data pengguna mereka tapi aku ga macam macam sih cuman numpang lewat cuman ngeliat gitu hehe.
Kemudian setelah menemukan celah yang critikal tersebut lantas aku menghubungi adminnya dan melaporkan kerentanan tersebut dan agak lama sih mereka balas nya jadi kurang lebih seminggu baru kelar tuh bug.
Timeline :
18 Januari 2022 Report Bug
21 Januari 2022 Bug di baikin
21 Januari 2022 Disuruh retest
25 Januari 2022 Dapat wang