[CAREER.AN.TV] Vulnerability Stored XSS

Learn System Security - Halo sobat, kali ini saya akan berbagi Bug Stored XSS yang saya temukan pada salah satu subdomain tv nasional yaitu career.an.tv.


Langkah Reproduksi :

  • Yang pertama kalian buka career.an.tv dan login, jika belum mempunyai akun kalian bisa klik Sign up/Registrasi dahulu.

  • Di menu sebelah kiri, kalian pilih Educations.
    sebenarnya bukan di menu Experiences/Skills/Languages juga memiliki bug yang sama.

  • Setelah kalian memilih menu Experiences kalian akan melihat form seperti dibawah ini, langsung saja kalian masukkan payloads <script>alert(document.domain)</script> di School Name* dan jangan lupa simpan.


Screenshot :

Firefox ESR 52.7.2(32-bit)

Google Chrome Version 65.0.3325.181 (Official Build) (64-bit)


Sekian dari saya, semoga dapat menambah ilmu sobat dalam berburu bug.
Happy Bug Hunting and thanks for come here.

0 comments