Tanio

Cross Site Scripting on Aqua

24 Aug 2019

2 min read

pentest xss security

Introduction

Berjumpa lagi, masih bermain main dengan XSS, kali ini saya mendapat sebuah website bernama Aqua, ya pasti kalian pada tahu dong, Aqua adalah sebuah anak perusahaan dari Danone yang berjalan pada sentra air minum.

Logo Aqua
Logo Aqua

Kebetulan saya bekerja sebagai admin di sebuah CV yang bekerja sama dengan Aqua sebagai mitra utamanya. Kalian bisa mengunjungi website aqua.co.id untuk mendapatkan informasi lebih lanjut tentang perusahaan ini.

Disclaimer

Lho kok ga di laporkan aja lur? Intinya saya males mereport bug seperti ini, endingnya hanya di anggap remeh saja sama mereka, kan kata mereka XSS hanya hal sepele hihi, jadi males aja gitu lur. Mending di WriteUP dan untuk saling share pengalaman.

Discovery

Oke menuju topik utama, setelah iseng mengunjungi halaman aqua.co.id saya mendapatkan from pencarian, nah disitu saya mendapat ide untuk melakukan XSS.

Target injeksi script XSS
Target injeksi script XSS

Testing Payload

Saya mencoba memasukkan "><script>alert(1337);</script> tetapi yang muncul halaman berikut, awalnya saya merasa gagal.

Failed attempt
Percobaan pertama yang gagal

Successful Exploitation

Lalu mencoba meremove search pada url dari :

https://aqua.co.id/search?_token=Pt6XdGZA2MyJqSY3RuT33O9ThJB0svRVqtiYE3Dn&query=%22%3E%3Cscript%3Ealert%281337%29%3B%3C%2Fscript%3E

menjadi

https://aqua.co.id/?_token=Pt6XdGZA2MyJqSY3RuT33O9ThJB0svRVqtiYE3Dn&query=%22%3E%3Cscript%3Ealert%281337%29%3B%3C%2Fscript%3E

Dan boom akhirnya muncul juga popup 1337 yang saya dambakan, cieeee….

Successful XSS
XSS berhasil dieksekusi

Further Testing

Tak lupa mencoba memunculkan prompt agar terdokumentasi bagi saya hehe.

XSS prompt
XSS dengan prompt

HTML Rendering

Iseng lagi coba coba ternyata bisa render html juga.

HTML rendering
HTML rendering test

Kesimpulan

Sekian writeup dari saya, jika ada kesalahan kata saya minta maaf. Terima kasih