Parameter Tampering : Abuse Fingerprint Parameter Leads to Send Tons of OTP Code

5 0

Hallo, ini adalah postingan pertama saya diblog SCS (baca : Sumatra CyberSec), pada postingan ini saya akan sedikit share temuan bug yang saya temukan disalah satu aplikasi Fintech terkenal di indonesia lewat platform CyberArmy.id.

untuk nama dan url akan saya samarkan karena saya cari aman 😀 .

ok langsung saja, sebenarnya ini adalah bukan bug pertama yang saya temukan di aplikasi tersebut, tapi karena ini lumayan menarik jadi dipostingan pertama temuan ini dulu yang saya share,

TL;DR

biasanya dalam pentest aplikasi saya lakukan secara bertahap dari 1 fungsi ke fungsi lainnya dari user sebelum login, pada saat proses login dan sesudah login..

untuk bug yang saya temukan ini berada pada fungsi login, yang mana pada saat login aplikasi mengirimkan beberapa informasi seperti mobile_number, password, platform, tracker_id dan yang menarik ialah paramater fingerprint , yang mana setelah saya analisa paramater ini berisi value semacam Identitas, Device ID, atau pengenal dari perangkat yang akan login, apabila nilai dari paramater fingerprint ini sudah pernah dikirim oleh user sebelumnya maka user akan langsung di direct ke halaman home aplikasi, namun apabila belum pernah,, otomatis aplikasi akan mengirimkan kode OTP (one time password) kenomor yang terdaftar karena aplikasi mendeteksi kalau user tersebut login di perangkat baru dan mekanisme keamanan mereka apabila login diperangkat baru maka harus memasukkan kode otp,.. hmm menarikkkk….

menarique

untuk full request login bisa dilihat pada gambar dibawah..

url login : https://api.[redacted].com/user_service/login

berikut reproduce dari temuan saya ini,

  1. Masuk kehalaman login.
  2. Intercept requests dengan burp dan lempar request ke fungsi intruder untuk dilakukan process looping dengan setiap request fingerprintnya dimodifikasi (setiap request saya tambahkan karakter acak supaya setiap request nilai dari parameter fingerprint berbeda-beda.)
  3. Set jumlah request sebanyak mungkin (disini saya set 1000 request.)

setelah saya klik tombol “Attack”, voilaaa..

 

hp saya kebanjiran SMS sampai 900an sms..

dampak dari temuan ini ialah menghabiskan resource dari server pengirim kode otp,

untuk mengatasi temuan ini dari pengembang bisa membatasi request dari user untuk login menggunakan perangkat baru dalam range waktu tertentu..

 

terima kasih semoga bermanfaat 😀