Improper Input Validation on Transfer

Improper input validation merupakan kerentanan keamanan yang terjadi ketika sebuah aplikasi gagal untuk menguji, memfilter, atau membersihkan data yang diterima dari sumber eksternal (pengguna) secara memadai sebelum data tersebut digunakan oleh aplikasi. Kasus kerentanan improper input validation pada aplikasi target ini yaitu pengugna dapat mengubah nilai transfer menjadi nilai minus yang berdampak nilai saldo pengguna dapat bertambah dan juga nilai saldo korban dapat berkurang secara tidak sah. Untuk membuktikannya, dapat dilihat pada gambar dibawah merupakan nilai saldo awal sebelum memanfaatkan kerentanan improper input validation.

Lakukan transaksi transfer, pada sisi aplikasi atau frontend tidak dapat menginputkan nilai yang negatif atau minus. Maka lakukan intercept pada request transfer tersebut menggunakan burp suite intercept. Jika sudah, ubah nilai pada parameter amount menjadi nilai minus atau negatif. Terlihat, response yang diberikan sukses dan nilai saldo bukannya berkurang malah bertambah.

Dan pada fitur balance pun nilai saldo bertambah dari saldo sebelumnya.

Thanks, Stay Ethical & Happy Hacking! 🍻