Bagaimana Saya Menemukan Reflected XSS di KBBI.WEB.ID

Learn System Security - Halo sobat hacker, kali ini saya akan sedikit menceritakan bagaimana saya menemukan bug di situs Kamus Besar Bahasa Indonesia yang beralamatkan kbbi.web.id.


Saat itu saya sedang mencari arti kata "pantengin" di kbbi.web.id dan saya mendapati url kbbi.web.id/pantengin, lalu saya melihat source code dari halaman tersebut.

dan saya mendapati source code seperti dibawah ini :

Perhatikan pada barisan kode :
<input type="text" name="w" id ="w" value="pantengin" />

Lalu saya coba memasukkan kode html untuk melihat apakah tag input diatas akan tertutup?
Payload yang saya masukkan pantengin">

Yapp! benar sekali tag input tersebut benar benar tertutup.
<input type="text" name="w" id ="w" value="pantengin">" />

Sekarang kita coba memasukkan payloads untuk mendatapkan Reflected XSS pada halamap tersebut, ini beberapa payloads yang saya coba,
  • pantengin"><svg onload="alert(document.domain)
  • pantengin"><img src=x onerror="alert(document.domain)

Beginilah source kode dari halaman yang sudah di masukkan payload,


Itu tadi sedikit berbagi bug bersama saya, dan setelah bug tersebut saya laporkan, bug tersebut segera diperbaiki oleh pihak pengelola website dan sekarang sudah tidak ada lagi bug tersebut.

Sekian dari saya, Happy Bug Hunting and thanks for come here.

0 comments