Broken Authentication on Transfer

Kerentanan broken authentication ini terjadi ketika aplikasi mengalami kegagalan sistem untuk memverifikasi identitas pengguna dengan faktor autentikasi yang seharusnya diwajibkan, yaitu scan fingerprint atau menginputkan PIN.

Kerentanan ini terjadi ketika pengguna seharusnya melakukan validasi/autentikasi terlebih dahulu menggunakan fingerprint atau PIN terlebih dahulu ketika akan melakukan transaksi transfer dapat dilakukan bypass. Bypass authentication ini dilakukan dengan cara melakukan hit secara langsung terhadap endpoint API transfer dengan menentukan tujuan transfer dan nominal besaran yang akan di transfer.

Seperti yang dapat dilihat, sebelum dapat melakukan pengiriman/transfer harus melakukan proses autentikasi fingerprint atau PIN terlebih dahulu. Namun, dapat dilihat pada gambar dibawah ini, ketika melakukan hit secara langsung terhadap endpoint API transfer, dapat melakukan transfer secara terus menerus tanpa perlu melakukan autentikasi terlebih dahulu.

Thanks, Stay Ethical & Happy Hacking! 🍻