yap benar kali ini saya akan menulis writeup mengenai cara saya mendapatkan akses panel pada aplikasi BRI bukan clickbait, tetapi perlu diketahui kalau BRI sendiri memiliki berbagai macam aplikasi. dan pada aplikasi yang saya temukan ini merupakan aplikasi diluar subdomain dari bri.co.id. Pada aplikasi yang saya temukan merupakan aplikasi yang digunakan utnuk kegiatan atau event yang diselenggarakan oleh Bank BRI yakni event BRI Hackaton dimana aplikasi tersebut beralamatkan pada www.briiton2020
Pada awalnya saya menemukan domain ini dikarenakan disebuah grup yang saya ikuti sedang membagikan informasi mengenai adanya informasi seminar yang diadakan oleh BRI, dikarenakan saat itu saya sedang bingung mau ngapain Gabut, akhirnya saya coba nyalain aplikasi andalan saya yakni Burpsuite dan saya coba untuk melakukan pendaftaran untuk mengikuti seminar tersebut,
Setelah berhasil membuat akun langsung saya coba menuju halaman profile untuk mengecek fitur update profile, dan benar saja disitu saya menemukan sebuah celah IDOR dimana dengan adanya celah tersebut mengakibatkan saya bisa melakukan update informasi user lain termasuk username dan password, sehingga saya bisa mengambil alih account mereka atau istilahnya Account TakeOver.
Selain itu ternyata di request tersebut ditemukan adanya parameter lain yang menarik menurut saya, parameter tersebut adalah LevelID, yapp dengan nama seperti itu saya langsung kepikiran bahwa parameter ini adalah pembeda antara user "Biasa" dan user "Admin". akhirnya saya coba ubah-ubah parameter tersebut dan saya coba relogin ke account saya, dan Boom ternyata akun saya berubah menjadi Admin atau biasa disebut sebagai Privilege Escalation, Dimana dengan privilage tersebut saya bisa melakukan apasaja sebagai admin✌
Tidak puas dengan itu saja akhirnya saya coba untuk menjelajahi fitur lainnya yang ada pada aplikasi tersebut, dan ditemukanlah adanya fitur reset password, sesuai dengan namanya fitur ini adalah fitur yang digunakan untuk melakukan reset password apabila user lupa terhadap password yang dimilikinya.
Pada fitur ini ditemukan adanya Authentication Bypass, dimana verifikasi yang seharusnya membutuhkan sebuah kode OTP yang didapatkan via email bisa dibypass tanpa perlu atacker memiliki akses terhadap email target.
Hal ini dapat terjadi dikarenakan kode OTP tersebut ditampilkan pada response dari http request yang kita kirimkan tadi seperti gambar dibawah.
setelah dirasa celah yang saya temukan cukup critical akhirnya saya coba kirim email ke tim security yang ada pada perusahaan tersebut pada 4 November 2020. Dan setelah beberapa lama mereka menjawab bahwa aplikasi yang saya laporkan merupakan Out of Scope.
**Bug telah dipatch dan pada saat postingan ini dibuat aplikasi tersebut sudah tidak bisa diakses lagi, semoga postingan ini bisa menjadi pembelajaran untuk kita bersama
