Bug WAWA Games, Untung Hackernya Baik - Bounty Hunter - Ngoprek IT

 
wawa games - logo

VULNERABILITY CSRF AND IDOR IN WAWA GAMES APPLICATION

Ngoprekit.com - Dilansir Artikel Mas TenWap, Assalamualaikum temen temen, pada kali ini kita akan membahas tentang penemuan saya pada aplikasi WAWA Games.

Buat temen temen yang belum tau apa itu WAWA Games, mungkin sedikit akan saya jelaskan. WAWA Games adalah aplikasi game di mana kita bisa bermain game secara real time dengan memanfaatkan teknologi IOT. Kita hanya perlu menginstall aplikasi dan kita bisa melakukan permainan layaknya pada arcade sungguhan , ketika kita mendapatkan hadiah maka akan langsung di kirim ke rumah kita . Wah keren kan !!!

Okeh jadi pada tanggal 28 Bulan September saya bermain game WAWA dengan mengeluarkan 150k hanya untuk membeli koin , tapi sayangnya saya hanya mendapatkan 3 boneka :( . Disitu lah rasa emosi saya memuncak dan membuat saya ingin meretas sistemnya agar dapet koin gratis ( just kiding ) .

Bermodal rasa penasaran akhirnya saya mencoba melakukan pentest menggunakan burp suite sebagai perantara untuk membaca request yang di kirim ke server, Ok bug pertama adalah CSRF !

Apa itu CSRF ? Cross Site Request Forgery , dimana bug ini memungkinkan attacker dapat merubah data yang sebenernya tidak ada akses untuk mengubah

Example :

contoh script csrf dari mas tenwap ( csrf bug )

Dimana biasanya jika target kita web base, akan ada type hidden yang pada aktualnya tidak akan terlihat pada tampilan ( output ) tapi kita dapat merubah value dari inputan tersebut dengan melakukan editing melalui inspect elemen ataupun request ulang dengan burpsuite (optional tools).

Okeh bug ini tentu saja bukan saya temukan di website, karna WAWA ini sebuah aplikasi android hehe, saya menemukan bug nya pada halaman edit profile, dimana ada input number yang tidak dapat di ubah (seharusnya) .

Profile 1 di hp mas tenwap

Setelah melakukan update saya melihat ada parameter number yang membuat saya penasaran untuk merubah requestnya .

script request_profile oleh mas tenwap

Setelah saya request ulang ternyata data di handphone saya ikut berubah. Wah dapat saya pastikan ini adalah BUG dan se segera mungkin membuat writeup berupa document text dan vidio.

Baca Juga : Bug GOJEK, Pembayaran GOPAY Bisa Di Manipulasi ?

profile 2 di hp mas tenwap

Tidak sampai disitu, rasa penasaran saya terus bertambah untuk melakukan pentesting terhadap WAWA Games dan akhirnya saya menemukan bug ke dua pada aplikasi ini yaitu bug IDOR.

Apa itu IDOR ? Insecure Direct Object Reference dimana bug ini di sebabkan dengan tidak adanya filter hak akses untuk melakukan request.

Pada saat bermain WAWA saya mengaktifkan intercept untuk melihat request yang keluar masuk , disana saya mendapatkan request berupa data data pribadi member / user.

Dari data di atas saya bisa mendapatkan Token, Email, Alamat, Nomor Telfon dan berbagai macam data lainnya .

Sebenernya masih banyak bug yang saya temukan seperti inject koin dan direct boneka orang ke rumah saya, cuman saya lagi mager ngetik haha udah lah ya segini dulu.

Timeline Bug Report

Report bug ke developer WAWA Games : Sabtu 28 September 2019 19:16

Developer respon bug di nyatakan valid : Sabtu 28 September 2019 19:43

Pemberian rewards berupa sertifikat dan uang : Sabtu 28 September 2019 19:43

Sertifikat WAWA Games untuk Mas TenWap

Terimakasih WAWA Games atas apresiasi berupa uang dan sertifikat nya :) , respon developernya bagus. Untuk saat ini WAWA Games bisa di katakan sudah aman, but remember ! Security is Proses :)

Winardi Adji Prasetyo ~

Sumber : https://medium.com/@mastenwap/vulnerability-csrf-and-idor-in-wawa-games-application-ff720c1cba33