Self XSS on www.kaskus.co.id

Bermula dari temuan bug sebelumnya yaitu xss pada subdomain kaskus, saya berfikiran untuk mencoba mencari bug pada domain www.kaskus.co.id lalu saya tertuju pada fitur edit profile.

Saya mencoba memasukkan payload xss tetapi terdapat filter yang membuat payload tersebut menjadi [removed]

form edit profile kaskus

Kemudian saya membaca writeup dari teman saya, yang sebelumnya diposting pada akun medium nya ( namun sekarang sudah dihapus ). Dalam writeup tersebut dia menggunakan payload

” accesskey=”X” onclick=alert(location.host) zerobyteid=”

Saya mencobanya pada fitur edit profile tepatnya pada form nama dan benar saja payload xss tersebut berhasil menampilkan popup

popup xss www.kaskus.co.id

Pihak kaskus memberi apresiasi dengan mencantumkan nama saya pada HoF kaskus.

Sekian, semoga bermanfaat 🙂

Timeline:

18 Juni 2019 – Melaporkan bug kepada pihak KASKUS

18 Juni 2019 – Respon CS melaporkan kepada pihak terkait

19 Juni 2019 – Respon CS bug telah diperbaiki

24 Juni 2019 – Apresiasi berupa Hall of Fame

Leave a Reply

Your email address will not be published. Required fields are marked *