Bug dan Celah Data User Aplikasi GOAPOTIK & GUESEHAT - Bounty Hunter - Ngoprek IT
logo dan nama aplikasi goapotik |
(KERUSAKAN DAN KERENTANAN PARAMETER PADA GUE SEHAT DAN GOAPOTIK)
Ngoprekit.com - Repost artikel Mas TenWap, Assalamualaikum temen temen, pada kali ini kita akan membahas tentang penemuan saya pada Aplikasi GueSehat dan Goapotik.
Cuman kita terfokus ke GoApotik aja ya , karena sama saja bugnya dan mereka satu perusahaan.
Okeh temen temen , sekitar bulan desember tubuh saya agak kurang fit sehingga mudah sakit :( di tambah dengan kuping saya yang selalu berbunyi entah kenapa sebabnya .
Setelah konsultasi ke aplikasi dokter dan beberapa dokter real ( bukan aplikasi ) akhirnya saya di diagnosa vertigo , pada akhirnya saya mencoba untuk membeli obat obatan online dan terlintas lah aplikasi goapotik.
Seperti biasa saya tipe orang yang penasaran dengan sistem yang di gunakan oleh aplikasi yang sudah terinstall di android saya , pada akhirnya lagi lagi saya mencoba melakukan pengujian terhadap aplikasi tersebut.
Percobaan pertama saya lalui dengan sangat mudah , saya menemukan kebocoran data user goapotik , dimana saya hanya perlu merubah beberapa parameter untuk mendapatkan data tersebut.
Disini saya tidak akan memberikan endpointnya ya temen temen, saya lampirkan saja data yang berhasil saya ambil.
source kebocoran data user goapotik |
Wah ga kebayang ya kalo saya buat program sederhana dengan cURL untuk mengambil seluruh data user disana.
Sebetulnya ada beberapa bug lagi terkait parameter tampering pada apps tersebut , cuman saya agak males untuk nulisnya, jadi segitu dulu aja ya teman teman hehe.
Timeline Bug Report
Report Bug : Senin 06 January 2020 10:25
Bounty : Senin 13 January 2020 12:28
sertifikat untuk mas tenwap ( bounty hunter ) |
Terimakasih GOAPOTIK & GUESEHAT atas Bounty nya, untuk saat ini bisa di katakan sudah aman , but remember ! Security is Proses :)
Winardi Adji Prasetyo ~
Sumber : https://medium.com/@mastenwap/vulnerability-parameter-tampering-in-gue-sehat-and-goapotik-12d9b9537f09
Posting Komentar