Beranda
Nasional
Internasional
Metro
Daerah
Lifestyle
Sports
Ekonomi Bisnis
Teknologi
Sains
Otomotif
Edukasi
Kalam
GenSINDO
Infografis
Video
Foto
Indeks
TikTok Beri Hadiah Rp54 juta Bagi Penambal Celah Keamanan
loading...
Aplikasi TikTok. FOTO/ Ist
A
A
A
TikTok telah menambal cacat keamanan XSS dan bug yang menyebabkan pengambilalihan akun yang memengaruhi domain web perusahaan.
Baca Juga - Fakta Rolex Green Submariner di Lingkaran Dugaan Korupsi Edhy Prabowo
Dilaporkan melalui platform bug bounty HackerOne oleh Muhammed "milly" Taskiran, kerentanan pertama ditemukan terkait dengan parameter URL di domain tiktok.com yang tidak dibersihkan dengan benar. (Baca: Ini Inisial Tersangka Pemberi dan Penerima Suap yang Melibatkan Edhy Prabowo)
Untuk tindakannya itu, Taskiran dianugerahi hadiah bug bounty sebesar USD 3.860 atau setara Rp 54,7 juta.
Taskiran menemukan bahwa kerentanan ini dapat dieksploitasi untuk mencapai skrip lintas situs (XSS) yang berpotensi mengarah ke eksekusi kode berbahaya di sesi browser pengguna.
Taskiran juga menemukan sebuah endpoint yang rentan terhadap Cross-Site Request Forgery (CSRF).
Ia juga mampu membuat muatan JavaScript sederhana yang menggabungkan kedua kerentanan tersebut.
![TikTok Beri Hadiah Rp54 juta Bagi Penambal Celah Keamanan]()
Skrip dapat memicu masalah CSRF, dan kemudian jika dimasukkan ke dalam parameter URL yang rentan, akan menyebabkan pengambilalihan akun dengan satu klik.
"Titik akhir memungkinkan saya menyetel kata sandi baru pada akun yang telah menggunakan aplikasi pihak ketiga untuk mendaftar," kata pemburu bug itu, dilansir dari ZDnet, Kamis (26/11/2020).
TikTok pertama kali menerima laporan yang menggambarkan kerentanan pada 26 Agustus. Pada 3 September, TikTok telah melakukan triase masalah keamanan dan memberikan skor tingkat keparahan 8,2. Bug telah diperbaiki pada tanggal 18 September.
Baca Juga - Fakta Rolex Green Submariner di Lingkaran Dugaan Korupsi Edhy Prabowo
Dilaporkan melalui platform bug bounty HackerOne oleh Muhammed "milly" Taskiran, kerentanan pertama ditemukan terkait dengan parameter URL di domain tiktok.com yang tidak dibersihkan dengan benar. (Baca: Ini Inisial Tersangka Pemberi dan Penerima Suap yang Melibatkan Edhy Prabowo)
Untuk tindakannya itu, Taskiran dianugerahi hadiah bug bounty sebesar USD 3.860 atau setara Rp 54,7 juta.
Taskiran menemukan bahwa kerentanan ini dapat dieksploitasi untuk mencapai skrip lintas situs (XSS) yang berpotensi mengarah ke eksekusi kode berbahaya di sesi browser pengguna.
Taskiran juga menemukan sebuah endpoint yang rentan terhadap Cross-Site Request Forgery (CSRF).
Ia juga mampu membuat muatan JavaScript sederhana yang menggabungkan kedua kerentanan tersebut.
Skrip dapat memicu masalah CSRF, dan kemudian jika dimasukkan ke dalam parameter URL yang rentan, akan menyebabkan pengambilalihan akun dengan satu klik.
"Titik akhir memungkinkan saya menyetel kata sandi baru pada akun yang telah menggunakan aplikasi pihak ketiga untuk mendaftar," kata pemburu bug itu, dilansir dari ZDnet, Kamis (26/11/2020).
TikTok pertama kali menerima laporan yang menggambarkan kerentanan pada 26 Agustus. Pada 3 September, TikTok telah melakukan triase masalah keamanan dan memberikan skor tingkat keparahan 8,2. Bug telah diperbaiki pada tanggal 18 September.
(wbs)
Explore More