IDOR (Insecure direct object reference) pada Website Jual Beli Indonesia

Halo semuanya kembali lagi dengan saya disini :3,dan kebetulan saya sedang istirahat kerja jadi saya gabut dan coba coba penetrasi web seperti biasa.

Untuk target saya hari ini hanya random target,dan kebetulan target saya hari ini ternyata adalah sebuah perusahaan handphone yang cukup besar namanya,berhubung saya sudah menghubungi Customer Service dan belum ada jawaban maka saya akan menyensor website tersebut seperti biasa.

“bang IDOR mulu gabisa share writeup lain kah?!”

Kalo kalian mikir kaya gini pas baca ini,ya maklum saya sibuk kerja jadi ya mungkin cuma bisa ngecek hal hal sepele dan tidak mendetail.

Untuk hal yang pertama saya lakukan saya melakukan register akun pada web tersebut

Disini produk yang akan kita eksekusi,

disini saya telah mencoba merubah rubah harga dll ternyata tidak bisa jadi saya lanjutkan ke proses checkout

Seperti biasa saya mecoba mengintercept request checkout diatas

Voila kita bisa mengedit total order atau total biayanya.

Saya melanjutkan untuk mengetest apakah transaksi benar benar dengan harga 10.000 untuk sebuah iphone 15 :3

Setelah saya melakukan transaksi di dana status transaksi di website pun berubah

Voila saya hilang uang 10 ribu untuk pembelian iphone 15 new,kebetulan saya mengirimkannya ke alamat gudang jnt,dan saya sedang menghubungi admin dari website tersebut

Timeline :
12 Februari 2024 : Bug Reported