.png)
3 years ago
112 BOOK THIS SPACE FOR AD
ARTICLE ADHello Everybody.
Hari Ini Saya Akan Share Temuan BUG Saya Pada Ahkir Tahun 2020 Kemaren di Tokopedia, BUGnya IDOR ONGKIR OPEN SHOP SHIPMENT LOCATION
Dimana BUG Tersebut Kita Dapat Merubah Titik Lokasi Toko, Sehingga Merubah Ongkos Kirim / Ongkir Toko Tersebut.
Apa Itu IDOR?
IDOR atau Insecure Direct Object Reference adalah vulnerability yang sering muncul karena tidak adanya pengecekan hak akses user terhadap suatu objek (data). User bisa mengubah key yang jadi reference ke objek (misalnya ID di database) dan bisa mendapatkan akses ke data (bisa melihat atau malah bisa mengubah juga)
Source : https://www.nakanosec.com/2020/03/bug-bounty-pertama-idor-insecure-direct.html
Vulnerable URL: gql.tokopedia.com
Vulnerability: Insecure Direct Object Reference
Severity: High
Owasp rank: 4th (OTG-AUTHZ-004)
4. Send to Repeater Request Dari Submit Titik Tadi
5. Edit Pada Bagian “shop_id” Dan Ganti Ke Toko Target Yang Ingin Lokasinya Dirubah
Report BUG : 11 December 2020
Tokopedia Respon Bug Valid (HIGH) : 12 December 2020
Bug Fixed : 12 December 2020
Tokopedia Send Reward ($505) : 07 Jan 2021
Thanks for reading . Happy Hunting .
![16 Times Forced Browsing Leads to Authentication bypass [ 300$ Bounty ]](https://miro.medium.com/v2/resize:fit:1200/1*HjbmfPos5Gtyq_GE7kwDEA.png)
Bengali (Bangladesh) · 
English (United States) ·