Open Redirect to Blind SSRF di Input Type : Date
Sebuah Bug yang memaksa system untuk mengirimkan dan mengalihkan traffic ke tempat lain.
Hi, Hackers!
Perkenalkan saya Syahrian, saya seorang Security Research. Pada tulisan pertama ini saya ingin menshare sebuah temuan, yg merupakan gabungan dari 2 bug yaitu Open Redirect to Blind SSRF. Sebelum masuk ke pembahasan, saya mau kasih disclaimer dulu nih, bahwa hal-hal yg berkaitan dengan target akan saya sensor, karna ini adalah private issue hehe, mohon pengertiannya yah, meskipun begitu smoga tidak mengurangi esensi dari pembahasannya. Lanjut!
+ APA ITU OPEN REDIRECT TO BLIND SSRF ?
Berikut definisinya dari Open Redirect dan Blind SSRF,
- Open Redirect adalah sebuah bug (celah) untuk mengalihkan suatu Web ke Web yang lain alias Malicious Website.
- Blind SSRF sendiri adalah Sebuah bug pada web aplikasi yang memungkinkan seorang Attacker memaksa (induce) server untuk mengirimkan sebuah HTTP Request ke Domain yang Attacker telah siapkan (Third-Party Domain). Namun sesuai dengan namanya yaitu “Blind", maka bug ini “engga keliatan” hasilnya pada Front-end, tapi hanya berbentuk koneksi HTTP saja layaknya hasil dari sebuah Ping.
+ TEMUAN OPEN REDIRECT TO BLIND SSRF ?
Perjalanan saya mendapatkan bug ini cukup unik sebenarnya karena saya tidak mengira dapat ditempat itu, yakni di Input Type Date. “Wait bentar, Input Type Date itu apa yaa by the way ?” Itu loh kalau misal kita daftar di suatu aplikasi kan suka ada yah pilihan tanggal, ya saya dapat bugnya ditempat itu wkwk. Kaya gini contohnya
Setelah itu saya terhenti di page ini dan mencoba untuk melakukan manual fuzzing, seperti ini HTTP Requestnya :
Pada Referer Header saya mencoba untuk menaruh Third-Party Domain dari tools Burp Suite, yang tujuannya untuk memaksa web ini untuk mengirimkan koneksinya ke Domain yang saya sudah set. Setelah saya kirim, HTTP Response dari webnya seperti ini :
Bisa dilihat pada Location Header, ternyata lokasinya masih mengarah ke Domain asli dari website tersebut.
But it’s okay, Ga nyerah akhirnya saya mencoba beberapa kemungkinan lagi (sebelumnya si sudah mencoba Tampering, Encoding sampai Bypassing, but failed!) seperti memberikan Third-Party Domain diseluruh header!, dengan kekuatan bulan eh maksudnya dengan bantuan extender dari BurpSuite yaitu Collaborator Everywhere seperti ini hasilnya :D
Saya kirim kembali, ternyata HTTP Responsenya tetap sama dan tidak berubah sama sekali :[
Mau kayang rasanya wkwk, yang diasumsikan malah gagal. But wait. .
Setelah dilihat kembali ternyata ada yang terlewat, di bagian Data & Time valuenya tidak dimasukkan domain Third-Party oleh Collaborator Everywhere, valuenya masih sama dan tidak berubah. Alhasil saya coba untuk mengganti valuenya, yang sebelumnya Tanggal dan Waktu, lalu saya rubah menjadi Domain, seperti ini.
Langsung saja saya send semuanyaaa!, dan responnya adalah
Yes! Akhirnyaaa :D dan saya juga mendapat PingBack (Koneksi Balik) dari Web korban, yang mana tandanya Domain saya berhasil menerima Trafik dan Web korban bisa dialihkan ke Website lain.
+ IMPACT DARI OPEN REDIRECT TO BLIND SSRF ?
Berikut beberapa dampak yang akan terjadi pada website yang mempunyai celah seperti ini, by the way ini kalau discoring bisa Low ke Medium yaa :
- Kemungkinan web tersebut menjadi zombie :D. Seriously, karena ada trafik yang terus keluar dari server tersebut tanpa diketahui siapapun.
- Setelah itu juga ada posibility untuk melakukan RCE (Remote Code Execution) kalau dapet payload yang pas,yaa kalau berhasil dampaknya bisa ke System itu sendiri salah satunya bisa bocornya informasi kredensial.
- Karena ini bisa Open Redirect juga jadinya kita bisa mengalihkan website ini ke Malicious Website alias Website yang penuh dengan jebakan Batman, seperti penuh dengan banyak adware, iklan bertebaran dimana-mana, dan penuh dengan malware yang kita tidak ketahui, ga perlu ngeclick, mereka sudah bisa jalan sendiri :D. (Untuk Open Redirect saya akan bahas lebih deep lagi yaa)
- Dan bug ini juga bisa dimanfaatkan untuk melakukan Phishing, untuk menipu beberapa korban seperti meminta user account dan lain-lain. User akan percaya karena ini dari Website asli, kecuali domainnya berbeda. seperti klikbca.com menjadi klikbca.co. Bayangin yah kalau domainnya berbeda saja masih banyak yang kena tipu, bagaimana dengan domain asli yang sebelumnya diretas dulu, terus dipakai buat nipu orang. ckck.
Maka dari itu kita harus berhati-hati yaa walau itu dari Website Resmi sendiri, karena yang resmi pun bisa diretas hehe. Selalu Aware ketika memasukkan sebuah User dan Password, pokoknya selalu lihat itu domain asli atau bukan, ada gembok sertifikat SSLnya tidak. Kalau merasa aneh mohon confirm ke Supportnya atau Call Centernya, siapa tahu mereka juga tidak tahu mengenai hal tersebut. Jadi, mari saling support dan saling mengamani satu sama lain.
Akhir kata terima kasih banyak sudah membaca keseluruhan story saya sampai habis, see you on next story. bye! :D
