Monday, 20 May 2019

Clickjacking Elevenia

Halo,siapa yang belum tau elevenia?elevenia adalah salah satu marketplace terbesar di Indonesia dan baru-baru ini saya mendapatkan bug yang cukup critical di website elevenia.co.id bug ini biasa disebut dengan clickjacking

saya akan mempersingkatnya jadi saya akan langsung menjelaskan bagaimana saya mengeksekusi clickjacking di website tersebut 
1.saya login dengan akun saya
2.saya mencoba untuk mengubah password dengan akun saya
3.saya mencoba burpsuite, karena saya membaca salah satu artikel tentang csrf di elevenia yaitu https://medium.com/@belvasaufa70/ dan pada saat itu saya menemukan referer:https://www.elevenia.co.id/register/passwordEditForm.do
4.dan saat itu juga saya berfikir untuk mencoba menggunakan teknik ClickJacking
lalu saya membuat scriptnya
5.dan saat membukanya saya agak kaget melihat ternyata website elevenia vuln clickjacking
ternyata setelah saya telusuri halaman userpun ternyata bisa di clickjacking
dan saya mencoba melaporkan kepada admin elevenia namun hasilnya nihil

ok terima kasih dari saya semoga bisa memberikan informasi

Bug Report:
1.Bug Found 18/05/2019
2.Tidak ada perbaikan

Share:

0 comments:

Post a Comment