Parameter Tampering at edspert.id

Description

Kali ini saya sudah muak karena nargetin web random dan berharap dapet bounty wkwk. Target kali ini yaitu https://edspert.id/, ketika sedang mengikuti alur pembelian kelas dan ingin membayar pesanan. Request POST dikirim ke endpoint /course/order_class dengan beberapa parameter pada badan, salah satunya parameter total_amount=250000 dengan mengubah value tersebut ke angka lain seperti 25000 ketika request dikirim server memberikan response 200 OK dengan memberikan link untuk membayar. Setelah saya kunjungi link tersebut harga total pada kelas otomatis berkurang yang awalnya 250 ribu menjadi 25 ribu.

Impact

Bug ini memungkinkan penyerang bisa membeli kelas yang harganya tinggi dengan harga rendah yang akan merugikan finansial bisnis.

Reproduction Steps

1. Login ke akunmu di https://edspert.id/
2. Beli kelas > bayar sambil mengintercept request.
3. Request POST akan dikirim ke endpoint /course/order_class dengan beberapa parameter pada badan seperti csrf_token=your_csrf_token&user_name=attacker&user_email=email%40email.com&&class_price=798000&discount_price=479000&voucher_price=0&voucher_id_fk=0&amount_uniq=0&total_amount=319000&bank_account_id=0&payment_method=xendit&class_id=72
4. Ubah value di parameter total_amount ke angka lain > kirim ke server > server akan memberikan response 200 OK setelah itu mengarahkan kita untuk membayar pesanan.

Timeline

4 Maret 2024 : Kirim laporan

17 Maret 2024 : Bug diperbaiki

19 Maret 2024 : Sertifikat apresiasi diberikan