BUG HUNTING - #2 Vulnerablellity XSS (Cros Site Scripting) Pada Website BNI Multi Finance

Tidak lama dari postingan saya yang kemarin tentang penemuan bug sql injection pada sebuah Bank Pinjaman Rakyat kali ini saya juga menemukan bug XSS (Cros Site Scripting) walaupun mungkin bug ini tidak terlalu critical akan tetapi bug ini termasuk bug yang juga harus di benahi dalam sebuah website .

Akan tetapi saya juga menemukan bug ke dua dari website tersebut , bug ke dua ini mungkin menjadi bug yang fatal , karena saya masih mendalami bug ini dan butuh proses waktu lama untuk menyatakan bug ini valid. oke kita focus ke bug pertama dulu.

Apa itu bug XSS (Cros Site Scripting) adalah bug yang di dapatkan ketika si attacker menyuntikan / memasukan sebuah payload ke dalam suatu form seperti form inputan atau form pencarian diaman ke tika kita melakukan tombol submit maka payload itu akan di eksekusi dan akan menghasilkan sebuah inputan dari bug website tersebut.

Kenapa itu bisa terjadi ? XSS terjadi karena saat developer tidak memfilter inputan yang masuk sehingga dengan menyuntikan paylpad yang di kombinasi dengan javascript maka akan menyebabkan form inputan tersbut mudah untuk di exploitasi XSS.

Kali ini bug yang saya temukan pada website BNI Multifinance , walaupun bug ini tidak critical seharusnya ini segera di patch, untuk menguji ini vuln xss saya langsung menuju form pencarian yang berada di menu atas kanan dan kemudia saya coba masukan payload seperti berikut

<script>alert(123);</script>

dan ternyata benar dari payload tersebut menhasilakn jendela pop up seperti berikut :

Yang di hasilkan :

Tujuan penulisan artikel ini adalah untuk membantu developer dalam memperbaiki masalah bug di mana marak nya tindak ke jahatan cyber crime yang makin meraja rela.

Bug sudah saya report dan masih belum di patch oleh pihak BNI.

terima kasih semoga bermanfaat.