Singkat cerita saya membuka sebuah nft marketplace yaitu https://xanalia.com/ dan seperti biasa saya mencari sebuah bug di website tersebut dari mulai IDOR, Sensitive Data Exposure dll tapi tetap tidak menemukan apapun.
Tapi saya mencoba klik kanan pada setiap profile dari user di website tersebut
Dan setelah di cek, disitu menggunakan amazon dengan bucket xanalia dan ya saya coba buka dan ternyata bucketnya public.
Langsung saja exploitnya, mager ngetik. Jadi coba tonton videonya ya :
Singkat cerita dengan bucket public tersebut saya dapat merubah semua user profile yang menggunakan bucket public tersebut dan bisa melihat semua script dari web dari si xanalia.
Timeline :
~ 6 March 2023 : Bug Reported
~ 7 March 2023 : Bug Fixed!!
~ no reward, rewardnya mendapatkan kesempatan kerja bareng mereka bila ada event khusus
