TELKOMSEL SELF XSS

Satya Aji Firmansyah
Nov 7 · 2 min read

haii, kali ini saya akan membagikan hasil temuan bug saya di subdomain telkomsel.com yaitu myads.telkomsel.com. Saya menemukan satu bug Cross site Scripting XSS pada subdomain tersebut.

Awalnya saya melakukan subdomain scanning pada website telkomsel.com menggunakan tools.hack.co.id. Saya tertuju pada subdomain myads.telkomsel.com dan saya langsung coba melakukan registrasi akun.

Saya tertarik pada fitur “ Coba Gratis “ tersebut. Saya langsung coba buka dan ternyata itu adalah tempat untuk membuat iklan. Saya coba memasukan payload XSS pada form yang ada namun ketika saya simpan hasilnya nihil tidak dapat disimpan.

Saya kembali tertuju pada form buat pesan, disitu tertuliskan review. Nah disini saya coba memasukan tag <img src=test> kemudian saya coba preview. Yup hasilnya menunjukan sebuah gambar yang rusak. Berarti tandanya tag <img> dapat berjalan dengan baik tanpa adanya validasi.

Saya langsung menginput payload XSS dari tag <img> tersebut untuk melihat apakah Javascript juga berjalan dengan baik atau tidak dengan payload <img src=test onerror=alert(document.domain)> dan saya langsung coba melakukan preview.

<img src=test onerror=alert(document.domain)>

Sebuah popup keluar yang menandakan bahwa Javascript berjalan dengan baik.

Yaa mungkin cukup sekian tulisan yang saya buat kali ini.
Sekian,
Satya Aji Firmansyah~

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade