Semarang — Jakarta Hanya 10 Ribu, Parameter Tampering Vulnerability

What is Parameter Tampering?

Parameter tampering is a type of web-based cyber attack in which certain parameters in a URL are changed without a user’s authorization. In some cases, the data entered by a user into a form field of a webpage may also be modified — again, without the user’s authorization.

Hai Semua,
kali ini saya akan berbagi pengalaman menemukan Bug Parameter Tampering di sebuah website pemesanan tiket bus online.

Berawal pada hari sabtu 8 oktober 2022, ketika sedang memesan tiket bus untuk pulang dan mendapatkan sesuatu yang memancing mata.

Nah lanjut, keesokan harinya 9 oktober 2022 saya coba-coba bikin pesanan baru dari semarang ke jakarta .

Harga Normal 280.000
Harga Normal 280.000

Ketika saya tekan submit, terdapat parameter yang cukup bikin penasaran.

yaps, params `harga` …

Payload
Payload

Lalu saya coba ubah harganya dan coba Request via Postman, booom!!

Response success dan email Booking Confirmation terkirim ke email saya.

Postman Request
Postman Request
Email Booking Confirmation
Email Booking Confirmation

 

Lalu saya coba bayar, gapapa lah 10k buat coba-coba hehe..

Dan Berhasil, status paid

Paid
Paid

 

 

Timeline :

~ 09 Oktober 2022 : Bug Reported

~ 12 Oktober 2022 : Bug Fixed

Total
0
Shares
Leave a Reply

Your email address will not be published. Required fields are marked *

Previous Post

[BUG BOUNTY] Escalation SSRF to RCE

Next Post

Metode Melacak Ponsel | Triangulating with BTS for Swift Recovery

What is Parameter Tampering?

Parameter tampering is a type of web-based cyber attack in which certain parameters in a URL are changed without a user’s authorization. In some cases, the data entered by a user into a form field of a webpage may also be modified — again, without the user’s authorization.

Hai Semua,
kali ini saya akan berbagi pengalaman menemukan Bug Parameter Tampering di sebuah website pemesanan tiket bus online.

Berawal pada hari sabtu 8 oktober 2022, ketika sedang memesan tiket bus untuk pulang dan mendapatkan sesuatu yang memancing mata.

Nah lanjut, keesokan harinya 9 oktober 2022 saya coba-coba bikin pesanan baru dari semarang ke jakarta .

Harga Normal 280.000
Harga Normal 280.000

Ketika saya tekan submit, terdapat parameter yang cukup bikin penasaran.

yaps, params `harga` …

Payload
Payload

Lalu saya coba ubah harganya dan coba Request via Postman, booom!!

Response success dan email Booking Confirmation terkirim ke email saya.

Postman Request
Postman Request
Email Booking Confirmation
Email Booking Confirmation

 

Lalu saya coba bayar, gapapa lah 10k buat coba-coba hehe..

Dan Berhasil, status paid

Paid
Paid

 

 

Timeline :

~ 09 Oktober 2022 : Bug Reported

~ 12 Oktober 2022 : Bug Fixed

Total
0
Shares
Leave a Reply

Your email address will not be published. Required fields are marked *

Previous Post

[BUG BOUNTY] Escalation SSRF to RCE

Next Post

Metode Melacak Ponsel | Triangulating with BTS for Swift Recovery

Related Posts