📃
Anggi's Notes
  • Tentang Penulis
  • Preambule
  • Tutorial Red Team Area (General)
    • Tutorial Setup VirtualBox
    • Tutorial Setup Kali Linux pada VirtualBox
    • Network Adapter Type pada Virtual Box
    • Tutorial Port Forwarding Pada Virtual Box
    • Mempercepat update/upgrade/install Kali Linux
    • Networking in a Nutshell
    • Linux in A Nutshell
    • Linux Command Intro
    • VA-PT Cheatsheet
    • Penetration Testing Guide & Checklist
    • Pentesting Web checklist
    • NMAP Cheatsheet
    • Bind vs Reverse Shell Concept
    • Reverse Shell Cheatsheet
    • Linux TTY Shell Cheat Sheet
    • Menaikkan Common Shell ke Meterpreter
    • Metasploit Cheatsheet
      • msfvenom
      • searchploit
    • Metasploitable-2
    • Metasploitable-3
    • Linux Privilege Escalation
      • Linux Privilege Escalation with Misconfigured /etc/passwd
      • Linux Privilege Escalation with SUID
      • Linux Privilege Escalation with Misconfigured Sudo
      • Linux Privilege Escalation with MSF
    • DVWA
      • Brute Force
        • Low
        • Medium
        • High
      • Command Injection
        • Low
        • Medium
        • High
      • Local File Inclusion
        • Low
        • Medium
        • High
      • File Upload Vulnerability
        • Low
        • Medium
        • High
      • Cross Site Scripting (XSS)
        • Reflected
          • Low
          • Medium
          • High
        • Stored
          • Low
          • Medium
          • High
        • DOM
          • Low
          • Medium
          • High
      • SQL Injection
        • Non Blind
          • Low
          • Medium
          • High
        • Blind
          • Low
          • Medium
          • High
      • CSRF
        • Low
        • Medium
        • High
    • Pentesting Report Sample
    • Tutorial Penggunaan ZAP
    • Windows VA/Audit
      • DetExploit
      • HardeningKitty
      • Tutorial Installasi OWASP ZAP pada Windows OS
    • Linux VA/Audit dengan Lynis
    • Mobile Security Framework (MobSF) Windows Docker
  • Tutorial Red Team Area (Teknik Windows Attack )
    • Reconnaissance Techniques
    • Windows Red Team Exploitation Techniques
    • Windows Red Team Defense Evasion Techniques
  • Tutorial Blue Team Area
    • Merancang SOC
    • IR Playbook
    • Blue Team Opensource Online Tools
    • Wireshark Query Cheatsheet
  • Temuan Celah Keamanan
    • LFI (Directory Traversal) di redacted.co.id
    • Kredensial Database dan Azure Leaks pada redacted.com
    • HTML Injection di Tokopedia
    • 🤪4300$ Bounty from Opensource automate recon tools, why not?
    • I hacked Mastercard 4 times? But How?
    • LFI dan RCE di aset redacted.com
    • FTPd DOS di aset redacted.co.id
    • Gitlab SSRF di redacted.com
    • Firebase Android database Takeover
    • RCE di 11 Subdomain Dell
    • SSRF di redacted.com
    • Reflected XSS di CelticPipes
    • Git Disclosure di redacted.co.id
    • Open Redirection+XSS pada Private Program Bugcrowd
    • Rails Debug Mode Enabled pada redacted.com
Powered by GitBook
On this page
  • Deskripsi Temuan
  • Proof Of Concept
  • Impact
  • Meaningful Reward

Was this helpful?

  1. Temuan Celah Keamanan

HTML Injection di Tokopedia

PreviousKredensial Database dan Azure Leaks pada redacted.comNext4300$ Bounty from Opensource automate recon tools, why not?

Last updated 3 years ago

Was this helpful?

HTML Injection merupakan kelemahan web yang mana penyerang dapat memasukkan file kode HTML pada web sesuai kehendak penyerang. Penyerang mengirimkan kode HTML melalui celah web dengan tujuan untuk mengubah desain situs web atau informasi apa pun yang ditampilkan kepada pengguna. Sehingga, pengguna akan melihat data yang dikirim oleh penyerang. Oleh karena itu, secara umum serangan ini melakukan penyuntikan kode bahasa markup ke dokumen halaman.

Sumber terkait HTML Injection dapat dibaca .

Deskripsi Temuan

Kerentanan ini saya temukan pada Search Query m.tokopedia.com. Dengan memanfaatkan input barang yang tidak ada di Tokopedia, sistem akan memberikan rekomendasi barang. Input user akan terefleksi pada pesan rekomendasi. Pada dasarnya, sistem telah memfilter input yang bermuatan XSS seperti javascript, onalert, onload, confirm dan sebagainya, namun tidak memfilter kode HTML lainnya.

Proof Of Concept

Impact

Penyerang dapat membuat formulir palsu, menyisipkan gambar dan berbagai bentuk tampilan html lainnya kepada korban.

Meaningful Reward

Terimakasih banyak untuk IT Security Tokopedia atas apresiasi yang begitu bermakna bagi saya :D.

disini