Bug Tokopedia? Code Promo bisa di BYPASS? - Bounty Hunter - Ngoprek IT

 

tokopedia.com

VULNERABILITY BYPASS CODE PROMO IN TOKOPEDIA.COM
( KERENTANAN JALAN PINTAS UNTUK KODE PROMO DI TOKOPEDIA.COM )

Ngoprekit.com - Repost artikel Mas TenWap, Assalamualaikum temen temen , pada kali ini kita akan membahas tentang penemuan saya pada website tokopedia.com.

Semua bermula ketika saya ingin membeli voucher google play card untuk membeli sebuah aplikasi di playstore , di tokopedia terdapat sebuah fitur code promo, dimana kita bisa mencoba memasukan code yang kita miliki .

Kebetulan pada saat itu saya tidak memiliki code promo, saya mencoba untuk mengisi ngasal sekaligus memasukan beberapa payload xss serta query bypass.

Setelah memasukan 10x ternyata saya mendapat sebuah respon bahwa harus menunggu 1 jam lagi untuk memasukan sebuah code promo, disaat itu saya mulai sangat amat jenuh, masa iya saya harus menunggu 1 jam untuk mencoba code promo baru, padahal pada saat itu saya sudah menemukan satu kode promo yang memungkinkan saya untuk mendapat cashback 20%.

Pesan peringatan untuk menunggu 1 jam


Karena saya tidak sabaran akhirnya saya mencoba melihat inspektur atau source dari halaman tokopedia, disana saya tertarik pada sebuah atribut data-code yang valuenya adalah kosong.

Pada atribut itu saya mencoba memasukan sebuah value code promo yang saya miliki yaitu COBADONG , dimana code ini hanya dapat digunakan oleh pengguna baru.

Memberikan Value Code Promo

Setelah mencoba merubah value maka langsung saja saya coba klik lanjut , dan ternyata code promo berhasil masuk ke halaman selanjutnya , jadi code promo ini hanya di filter pada halaman sebelumnya saja .

Proses Bypass Code 

Alhasil saya tidak perlu menunggu satu jam lagi untuk mencoba beberapa code promo hehe .

Timeline Bug Report

Report bug ke developer tokopedia : Selasa 2 April 2019 23:36

Respon dari tokopedia mengenai temuan saya : Rabu 3 April 2019 20:45

Bug di nyatakan valid oleh tokopedia dengan severity low : Selasa 9 April 2019 09:51

Thanks tokopedia , walaupun ga dapet mercendes wkwk setidaknya saya membantu security di tokopedia menjadi lebih baik .

BTW Sertifikatnya ga di kirim kirim sampai sekarang , udah satu tahun yasudahlah.

"Sabar ya mas tenwap, nanti diberikan rezeki yang lain" hehehe..

Winardi Adji Prasetyo ~

Sumber : https://medium.com/@mastenwap/vulnerability-bypass-code-promo-in-tokopedia-com-b5603387da42