nauvalazhar
commented
4 years ago Halo, terima kasih sudah membuat issue. Kami sudah memperbaikinya di sini.
Closed abaykan closed 4 years ago
nauvalazhar
commented
4 years ago Halo, terima kasih sudah membuat issue. Kami sudah memperbaikinya di sini.
Halo,
Sepertinya di bagian edit profile kurang ada fitur untuk cek karakter inputan pengguna. Sehingga pengguna bisa memasukkan payload XSS di dalamnya. Temuan ini ada di kolom Github Link (belum coba di kolom lain).
Proof: Screenshot 1: https://assets.codelatte.net/20200302221525-Screenshot_from_2020-03-02_22-12-12.png Screenshot 2: https://assets.codelatte.net/20200302221525-Screenshot_from_2020-03-02_22-12-01.png
Impactnya, jika disalah-gunakan, nantinya bisa terjadi cookie stealing kepada pengguna lain. Referensi: Membuat Cookie Stealer (XSS)