Capek" gua report kerentanan Broken User Auth taunya ngga direspon pihak skilvul yang ada malah thread topik yang gua bikin dihapus mereka padahal niat gua baik dan pertanyaan sudah sangat beretika inikah balasan kalian? Fine, gua gak bakal lapor pada kalian lagi tiap kerentanan yang gua temuin di situs kalian kalau ada insiden siber jangan salahin ethical hacker
EDIT:- Gimana sih sudah dua jam gak di approve komentar gua oleh pihak skilvul
Hi @ojan ,
Kami mohon maaf apabila terjadi ketidaksalah-pahaman. Saya tidak ada info mengenai thread yang di-delete di forum. Mengenai kerentanan Broken User Auth, saya juga tidak menerima info tersebut.
Apakah kamu berkenan untuk menjelaskan sekali lagi di sini? Saya secara pribadi yang akan langsung membalas di thread ini.
Ngga rekomended beut siapa sih yang ngatur approval males amat kerjanya dari kemaren gak di approve masih mending forum kek raidforums langsung di approve masa kalah
Hi @ojan,
Sepertinya untuk komentar yang mencantumkan link harus diapprove sama admin kita. Tetapi setelah melihat screenshot kamu di atas, saya kira-kira paham vulnerability-nya di mana.
Mengenai keterlambatan komentar yang harus diapproved, saya mohon maaf. Tim Skilvul itu sangat kecil dan masing2 anggota kami juga sedang berusaha secepat mungkin untuk membalas message satu per satu. Kami sedang berusaha memperbaiki masalah ini. Harap tolong dimaklumin.
Saya akan menyampaikan kendala cookie yang kamu temukan kepada tim dev kami. Untuk itu saya mengucapkan banyak terima kasih. Apakah kamu tertarik dengan voucher di Skilvul?
-Johan
Baiklah kalau begitu ini saya cantumkan video proof of concept:
https://drive.google.com/file/d/1RJkwcKlZhgSVK2zX-mJy8Lar96lQ-wUV/view?usp=sharing
Silahkan dilihat saya sudah capek ngetik panjang beberapa minggu lalu namun di sia-sia kan…
Salin cookie lama → logout → karena kerentanan broken auth cookie tetap aktif walaupun telah logout → tempel cookie lama → berhasil login → Account Takeover
Ya saya sangat tertarik btw…
