Stored XSS and html Injection on Subdomain NUS ( https://nusit.nus.edu.sg/ )

Asslamualaikum wr.wb

Hallo, perkenalkan nama saya bagus lindu pamungkas, saya seorang mahasiswa informatika semester 4 disalah satu perguruan tinggi di jogja tepatnya di Universitas Teknologi Yogyakarta. Langsung saja ke bagian inti mengenai penemuan celah pada server website https://nusit.nus.edu.sg/ ( National University of Singapore ), pada saat saya gabut seperti biasa, saya mencari program bug bounty khususnya di universitas tertentu, nahh disana saya menemukan celah XSS, apa itu celah XSS? Bisa dibaca disini :

https://id.m.wikipedia.org/wiki/XSS

Kemudian disana tertera jumlah bounty khusus, kurang dari 3 menit perhatian saya tertuju pada fitur LiveChat yang berada dipojok kanan bawah.

Payload pertama saya masukan adalah html injection, berupa :

• <h1> Hello NUS </h1>
• <img src=xxx>

Dan yaa, payload tersebut dapat tereksekusi seperti dibawah ini :

Kemudian saya mencoba payload XSS berupa :

• <img src=x onerror=alert(0)>
• <img src=x onerror=alert(document.cookie>

dan beberapa lainnya seperti “document.write” dll. Dan boom berhasil melakukan XSS, disana terlihat cookie session saya, ini memungkinkan seorang attacker melakukan stealing cookie terhadap user lain.

Sayangnya bug ini tidak dianggap valid dan out of scope, hanya karena saya bukan mahasiswa NUS, NUS memberikan reward lebih bagi penemuan reflected, harusnya penemuan stored saya lebih dihargai dikarenakan critical.

Timeline

• Ask of Bug and Report - 4 mei 2021
• Bug Valid - 5 mei 2021
• 8 mei 2021 ask of disclose bug
• 9 mei 2021 notification, bug disclose on 5 mei 2021
• Ask any reward or certified 11 mei 2021
• Notification no reward 11 mei 2021

Sekian write up dari saya, tetap semangat nyari bug walau 2M👋👋

Wassalamualaikum wr.wb