TELKOMSEL SELF XSS
haii, kali ini saya akan membagikan hasil temuan bug saya di subdomain telkomsel.com yaitu myads.telkomsel.com. Saya menemukan satu bug Cross site Scripting XSS pada subdomain tersebut.

Awalnya saya melakukan subdomain scanning pada website telkomsel.com menggunakan tools.hack.co.id. Saya tertuju pada subdomain myads.telkomsel.com dan saya langsung coba melakukan registrasi akun.

Saya tertarik pada fitur “ Coba Gratis “ tersebut. Saya langsung coba buka dan ternyata itu adalah tempat untuk membuat iklan. Saya coba memasukan payload XSS pada form yang ada namun ketika saya simpan hasilnya nihil tidak dapat disimpan.
Saya kembali tertuju pada form buat pesan, disitu tertuliskan review. Nah disini saya coba memasukan tag <img src=test> kemudian saya coba preview. Yup hasilnya menunjukan sebuah gambar yang rusak. Berarti tandanya tag <img> dapat berjalan dengan baik tanpa adanya validasi.

Saya langsung menginput payload XSS dari tag <img> tersebut untuk melihat apakah Javascript juga berjalan dengan baik atau tidak dengan payload <img src=test onerror=alert(document.domain)> dan saya langsung coba melakukan preview.

Sebuah popup keluar yang menandakan bahwa Javascript berjalan dengan baik.
Yaa mungkin cukup sekian tulisan yang saya buat kali ini.
Sekian,
Satya Aji Firmansyah~