Self XSS on csirt.ubharajaya.ac.id

Description

Kali ini saya gabut dan coba menargetkan https://csirt.ubharajaya.ac.id/ ketika saya ingin lapor bug di web tersebut, dulu ada fitur “Select Files” yang memungkinkan pelapor bisa mengupload file gambar. Lalu saya coba namain file saya seperti <img src=abc onerror=alert('xss')>.jpg ketika saya upload pop-up muncul dan saya coba laporin lah wkwk.

Impact

Bug ini memungkinkan penyerang bisa menampilkan pop-up pada dia sendiri wkwk rada gak berguna ya.

Reproduction Steps

1. Pergi ke https://csirt.ubharajaya.ac.id/lapor
2. Isi bidang lain seperti biasa.
3. Namain file gambarmu ke <img src=abc onerror=alert('xss')> > upload dibidang “Select Files” > pop-up akan muncul ke diri sendiri wkwk.

Timeline

4 Januari 2024 : Kirim laporan

5 Januari 2024 : Meski self perlu diperbaiki wkwk

Selamat pagi Sdr. Rohmad Hidayah,

Terima kasih untuk laporan XSS di halaman lapor ke tim CSIRT.

Setelah kami cek inject XSS ini hanya muncul di halaman pelapor pada saat upload file. Ketika disimpan ke database dan juga dilihat di halaman admin, filename tersebut sudah disanitasi, berikut contohnya:

gambar.jpg

Kesimpulannya XSS ini hanya muncul di halaman attacker sendiri pada saat melakukan upload dan tidak muncul di tempat lain. Meskipun demikian ini perlu diperbaiki, ini akan kami sampaikan ke MachForm pembuat aplikasi form tersebut untuk memperbaikinya. Untuk sementara fitur upload file kami hilangkan.

Terima kasih untuk laporannya.

Salam

Staf

PoC CSIRT