بسم الله الرحمن الرحيم
Saya mengawali masa lockdown tahun 2020 dengan melakukan bug bounty di platform Hackerone .
Setelah saya memilih program dan salah satu scopenya, saya mencoba fuzzing dengan ffuf dan ada kesalahan saat mengetik endpoint. Karena kelebihan menambahkan backslash di url, endpointnya jadi seperti dibawah ini:
ffuf -u https://redacted.com/redacted//FUZZ -w wordlist.txt
Saat saya mau cancel tiba-tiba muncul endpoint metrics dengan status 200. Endpointnya seperti ini:
https://redacted.com/redacted//metrics
Setelah saya cek tampilannya seperti ini
Saya cek linknya satu-satu sepertinya berdampak dan saya laporkan. Alhamdulillah report diterima.
Timeline
17 March 2020 Report Submitted
18 March 2020 Triaged
18 March 2020 Severity Low Bounty $$$
18 March 2020 Resolved
Hampir satu bulan berlalu, tiba-tiba saya terpikirkan path traversal dan teringat bug ini
Saya mencoba menambahkan
%0a/%2e/%2e
Endpointnya menjadi seperti ini
https://redacted.com/redacted/metrics/%0A/%2e/%2e
dan ternyata berhasil
Saya laporkan hari itu juga, dan mendapatkan respon.
Timeline
31 March 2020 Report Submitted
1 April 2020 Triaged
1 April 2020 Severity Low Bounty $$$
23 April 2020 Resolved
Menunggu hampir satu bulan,akhirnya bug berubah status menjadi resolved dan fix. Saya pikir sudah dapat di bypass lagi.
Tapi tidak sah kalo belum dicoba hehehe
Sekitar hampir 2 jam berkutat di endpoint ini dengan menambah header, path traversal, parameter fuzzing dan hasilnya nihil,iseng coba ganti huruf akhirnya yaitu s=%73
Endpointnya menjadi seperti ini
https://redacted.com/redacted/%0A/%2e/%2e/metric%73
dan Bisaaaaaaaaaaaaa
Timeline
23 April 2020 Report Submitted
24 April 2020 Triaged
18 May 2020 Severity Low Bounty $$$
10 June 2020 Resolved
Setelah hampir 2 bulan, fix yang di implementasikan adalah jika ada kata metrics di url maka akan ke 403 page