CARA SAYA MENEMUKAN KERENTANAN IDOR ATAU PARAMETER TAMPERING PADA WEBSITE ECOMMERCE

Hello perkenalkan saya subhan, ini merupakan tulisan pertama saya dan kali ini saya mau berbagi cerita tentang temuan saya yaitu temuan kerentanan parameter tampering atau IDOR atau apapun itulah namanya.

saya menemukan kerentanan ini disalah satu platform penjualan alat masak yang ada di indonesia. Awal mula saya menukan kerentanan ini adalah ketika saya coba-coba mencari target untuk melakukan penetrasi testing kemudian setelah melakukan pencarian akhirnya saya sampai pada ecommerce ini( “sebut saja www.nanana.co.id”). setelah melakukan riview terhadap website, pikiran saya tertuju pada fitur penjualannya, “kayaknya merubah harga barang seru nih!”. Akhirnya saya buka Burpsuite dengan maksud untuk menangkap request yang dikirimkan website ke server. kemudian saya mencoba memilih barang yang ingin saya beli

Disini saya mencoba memesan satu barang dengan harga 227k yang dikirim dengan menggunakan JNE. kemudian saya masuk ke Burpsuite untuk menangkap request yang dikirmkan keserver

disini saya mencoba mencari nilai pembayaran yang mana disini bisa kita lihat hasil intercep dari Burpsuite, saya menemukan harga pembayaran seperti yang saya lingkar biru. Kemudian saya coba mengganti value nya dengan harga 500 rupiah kemudian mengirimkannya kembali and boom.!!!!

Harga yang seharunya 227 ribu berubah menjadi 500 rupiah. uwuwuwuwuwuwuwuwuwuuwuw

kemudian dengan bukti yang cukup kuat akhirnya saya memutuskan melaporkan temuan saya ke pemilik website.

TAMAT.!!!!!!!!!

Saksikan tulisan saya selanjutnya, babai.!!!!!