IDOR Pada Website Jual Beli Indonesia
Halo semuanya,ini writeup pertama saya jadi tolong dimaklumkan jika banyak kekurangannya. Kebetulan saya menemukan bug IDOR pada Website Jual Beli Barang di Indonesia.
Sebelum masuk ke penjelasannya,berikut saya berikan pengertian apa itu IDOR
Insecure direct object references (IDOR) are a type of access control vulnerability that arises when an application uses user-supplied input to access objects directly. The term IDOR was popularized by its appearance in the OWASP 2007 Top Ten. However, it is just one example of many access control implementation mistakes that can lead to access controls being circumvented. IDOR vulnerabilities are most commonly associated with horizontal privilege escalation, but they can also arise in relation to vertical privilege escalation.
Sebelumnya saya sudah mengcontact Developer dari website tertera dan belum ada jawaban,Jadi saya akan menyensor websitenya karena belum mendapatkan izin dari Developer.
Mari kita masuk ke dalam pembahasan
Saya coba mengklik Beli sekarang untuk mengecek apakah kita bisa mengedit harganya,ternyata tidak karena sudah sesuai database,lalu dimana bug IDOR nya bang?
Setelah saya coba klik Beli sekarang terlihat akan ada tambahan biaya yaitu biaya pengiriman disini saya mencoba untuk mengklik salah satu metode pengiriman
Disini terlihat ada tambahan biaya,saya coba intercept dengan burpsuite berharap agar bisa merubah harganya,dan voila
Saya coba rubah Shipping menjadi minus,tetapi Tidak bisa jadi saya coba ubah ke harga yang lebih mahal saja,dan bisa saja saya mengubah menjadi 0 yaitu free ongkir
Voila Shipping 5 juta :3,bisa saja saya ubah 0,dan berikut qris yang saya scan lewat mbanking saya
Voila Barang yang harganya 3 juta bisa jadi 8juta karena Bug IDOR ini,ya mungkin menurut kalian ini tidak merugikan pemilik website,bagaimana jika saya edit ke 0 yang harusnya saya membayar ongkir semisalnya malah jadi owner yang nombok.
Sebelumnya itu saja yang ingin saya sampaikan pada kesempatan kali ini,terimakasih telah membaca hingga akhir.