Pada pengujian ini ditemukan kerentanan Reflected XSS pada endpoint berikut:
https://wmgateway.kapalapi.co.id/index.php?q=payload
Payload Uji
Payload pengujian yang digunakan:
https://wmgateway.kapalapi.co.id/index.php?q="><img src=x onerror=prompt("Xss")>
Hasil
Input pada parameter q dapat dipantulkan ke halaman tanpa encoding/sanitasi yang memadai sehingga JavaScript dari payload dapat dieksekusi di browser korban.
Dampak
Reflected XSS dapat digunakan untuk menjalankan script pada konteks browser user, termasuk phishing, pencurian sesi, dan manipulasi tampilan halaman jika dikombinasikan dengan social engineering.
Rekomendasi
- Lakukan output encoding pada seluruh data yang ditampilkan kembali ke HTML.
- Terapkan validasi input ketat untuk parameter query string.
- Gunakan Content Security Policy (CSP) untuk membatasi eksekusi script tidak sah.