Sandbox XSS to stored XSS

Feedback / Error / Bug
#1

Hai Team. Perkenalkan nama saya Mohammad Alfin Hidayatullah, Saya ingin melaporkan adanya bug yang sangat berbahaya di website skilvul.com

Ini adalah bug XSS (Cross Site Scriptting), Bug ini memanfaatkan code JAVASCRIPT untuk melakukan penyerangan nya, Bug ini tergolong berbahaya karena bug ini bisa memunculkan pesan dari website seolah-olah pesan itu berasal dari website terkait. Selain memunculkan pesan, bug ini juga bisa digunakan oleh attacker untuk melakukan cookie stealing.

step to produce:
1.login ke skilvul.com
2.pilih skilpath
3.pilih playground
4.isi file index html dengan payloads xss atau isi file javascript dengan command javascript:alert()
5.simpan
6.salin url dan coba lihat dengan browser lain

Solusi:membatasi fitur preview hanya untuk dilihat diri sendiri, karena jika public bisa melihat maka akan ada kemungkinan orang nakal yang memanfaatkan nya untuk hal yang tidak bertanggung jawab

image
image1366×768 79.7 KB

image
image1366×768 111 KB

image
image1366×768 15.8 KB

#2

Hi Mohammad @visitmeplz.com ,

Terima kasih sudah membagikan penemuan kamu di atas. Akan saya sampaikan ke tim dev.

#3

Hi kak Johan
Apakah ada update untuk temuan saya ini?

#4

Hi @visitmeplz.com Mohammad,

Yang ini sedang kami kerjakan dan akan dideploy di release kami berikutnya.

Fitur preview untuk public ini tidak bisa kami hilangkan soalnya memang tujuannya adalah biar user bisa memperlihatkan hasil kerjaannnya. Tetapi kami sudah ada solusi untuk masalah xss injection itu.

#5

ini menarik sih tapi seharusnya dikirim ke email aja…
menurut ku mungkin sementara coding playground di tutup dulu buat di develop lagi

1 Like
#6

(post withdrawn by author, will be automatically deleted in 24 hours unless flagged)