[ BUG BOUNTY ] Self XSS + ClickJacking = Good XSS | Tokopedia

3 min readSep 2, 2019

Hi sobat, bagaimana kabarnya ? semoga senantiasa sehat selalu dan diberikan kelancaran dalam aktifitasnya. ^-^

Tokopedia adalah perusahaan teknologi Indonesia dengan misi mencapai pemerataan ekonomi secara digital. Sejak didirikan pada tahun 2009, Tokopedia telah bertransformasi menjadi sebuah unicorn yang berpengaruh tidak hanya di Indonesia tetapi juga di Asia Tenggara. — Wikipedia.

Awal cerita…., pada saat mencoba hunting diwebsite ini. saya mencoba untuk melakukan periksa setiap form input yang saya temuin dengan payload XSS lalu melihat hasilnya; ( bisa menggunakan ctrl+u atau bisa melihat responsenya langsung menggunakan tools burpsuite ) . singkat cerita saya berhasil men-trigger XSSnya =)

Nah, setelah saya amati bahwa XSS ini berada didalam sisi pengguna customer ( user ) saja. dengan kata lain tidak berdampak kepada customer lain dan XSS ini tergolong dalam kategori Self XSS karena hanya berdampak kepada diri sendiri saja.

Selanjutnya, saya mencari referensi “Eskalasi Self XSS” dan ternyata banyak referensinya di google untuk eskalasi berikutnya; misal :

Ternyata dari sekian referensi Self XSS umumnya dikombinasi dengan teknik Clickjacking, dengan syarat halaman untuk clickjackingnya terbuka.

Berikut Step of Reproduce nya :

1. Siapkan 2 akun [ asumsi akun A & akun B ]
2. Pergi ke Daftar produk
3. Mengecek sebuah form input dengan sebuah payload XSS
4. Ketika saya memasukan sebuah payload, saya berhasil mentrigger XSS
5. Mengecek halaman endpoint dengan apakah vulnerability Clickjacking,… yups dan ternyata vulnerability untuk Clickjacking, selanjutnya saya kombinasi XSS tersebut dengan Clickjacking