BUG IDOR ONGKIR SHOP TOKOPEDIA [Sev HIGH]

Hello Everybody.

Hari Ini Saya Akan Share Temuan BUG Saya Pada Ahkir Tahun 2020 Kemaren di Tokopedia, BUGnya IDOR ONGKIR OPEN SHOP SHIPMENT LOCATION

Dimana BUG Tersebut Kita Dapat Merubah Titik Lokasi Toko, Sehingga Merubah Ongkos Kirim / Ongkir Toko Tersebut.

Apa Itu IDOR?

IDOR atau Insecure Direct Object Reference adalah vulnerability yang sering muncul karena tidak adanya pengecekan hak akses user terhadap suatu objek (data). User bisa mengubah key yang jadi reference ke objek (misalnya ID di database) dan bisa mendapatkan akses ke data (bisa melihat atau malah bisa mengubah juga)

Source : https://www.nakanosec.com/2020/03/bug-bounty-pertama-idor-insecure-direct.html

Vulnerable URL: gql.tokopedia.com
Vulnerability: Insecure Direct Object Reference
Severity: High
Owasp rank: 4th (OTG-AUTHZ-004)

Register Account Seller / Toko Di TokopediaAtur Titik Lokasi Toko Awal [Alamat Lengkap&Detail Alamat]Open Burp Suite, Dan Klik Submit Atau Pilih Lokasi Ini

4. Send to Repeater Request Dari Submit Titik Tadi

Request Dari Submit Titik Lokasi

5. Edit Pada Bagian “shop_id” Dan Ganti Ke Toko Target Yang Ingin Lokasinya Dirubah

yaudh sukses, mau apa lg

Report BUG : 11 December 2020

Tokopedia Respon Bug Valid (HIGH) : 12 December 2020

Bug Fixed : 12 December 2020

Tokopedia Send Reward ($505) : 07 Jan 2021

Thanks for reading . Happy Hunting .