Stored XSS in app.gitbook.com
Halo teman teman, Perkenalkan nama saya Mohammad Alfin Hidayatullah dan saya adalah seorang bug bounty hunter. Kali ini saya ingjn berbagi cerita tentang temuan bug yang saya temukan di [app.gitbook.com]
Apa itu gitbook?? GitBook merupakan sebuah layanan yang membangun format buku yang bersifat open source dengan menggunakan serangkaian alat yang sederhana dan kokoh untuk menulis buku dengan format tersebut. (Codepolitan)
Saya akan langsung menjelaskan bagaimana saya menemukan bug XSS/Cross Site Scripting di website [app.gitbook.com], Sebelumnya saya juga pernah melaporkan bug HTML INJECTION (In email) di Gitbook dan mendapatkan apresiasi berupa swag yang katanya masih dalam antrian.
Saya menemukan bug XSS ini di sebuah kolom yang sangat identik dengan XSS yaitu kolom insert link, Karena kolom ini biasanya ada yang tidak di filter untuk menggunakan HTTP/HTTPS, Saya coba memasukan code javascript biasa seperti javascript:alert() dan ternyata benar kolom tersebut tidak memiliki filter HTTP/HTTPS.
Setelah mendapatkan respond seperti ini saya langsung mencoba untuk melaporkan nya, selang beberapa hari saya mendapatkan izin untuk membuat artikel tentang temuan saya dan bug nya juga sudah di perbaiki oleh team GitBook.
Kurang lebih seperti itu cerita tentang temuan XSS/Cross Site Scripting yant saya temukan di GitBook, Saya harap bisa bermanfaat untuk teman teman yang ingin mempraktikkan dan saya mohon maaf bila ada salah kata tentant artikel yang saya buat ini. Sekian dan terimakasih.
Contact:alpinbrainsec@gmail.com
