Pada kesempatan kali ini saya akan membahas mengenai temuan saya pada website MAKO Bakery. Yang dimana kerentanan ini dibantu oleh tools buatin AI CHATGPT untuk melakukan multi enkripsi hash MD5.
Pada hal ini, Saya melakukan pemesanan hingga sampai menunggu pembayaran, dalam proses menunggu pembayaran terdapat url https://shop.mako.id/checkout/order_wait/{hash}.
url tersebut bisa diubah statusnya menjadi https://shop.mako.id/checkout/order_success/{hash}. Artinya orderan success namun belum berhasil sepenuhnya karna masih menunggu pembayaran.
Dalam hal ini aplikasi tidak menerapkan session dengan baik sehingga penyerang dapat membypass halaman order tanpa harus melakukan pembayaran terlebih dahulu. dengan adanya temuan ini saya masih belum puas, saya melihat bahwa pada halaman sukses order menampilkan informasi pengiriman kepada pelanggan yang sudah melakukan order.
Selain itu juga saya melihat aplikasi menggunakan enkripsi MD5 untuk menyembunyikan ID pelanggan, dan saya langsung melakukan dekripsi MD5 pada website https://hashes.com/ untuk mengetahui pola ID yang digunakan.
Setelah saya mengetahui pola ID yang digunakan saya langsung membuat tools sederhana dengan dibantu CHATGPT untuk melakukan multi enkripsi MD5 dengan metode bruteforce ID 2853710 – 2853799 kemudian melakukan pengecekan ID yang valid melalui tools tersebut.
Setelah itu saya mengambil ID yang valid dan sudah dienkripsi MD5 yang artinya adalah sudah sukses melakukan pembelian pada website mako.
Untuk saat ini bug sudah difixing dengan baik dan direspon cepat oleh pihak mako bakery. Mungkin sekian dari saya terima kasih.
Timeline Report
[Deliver Email] – 21 April 2025 17.21
[Response] – 21 April 2025 18.16
[Fixing] – 22 April 2025 14.27
[Deliver Reward] – Masih menunggu hingga saat ini 😀